Как убрать винлокер с windows 10

Как удалять винлокер

При включении нужно нажать F8.Или просто выдернуть из розетки и включить.
Потом нужно зайти в безопасный режим с поддержкой командной строки. Если получилось, то нужно ввести explorer.exe.
Теперь нажать Win+R и набрать regedit.И зайти в ветку:
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrentVersionWinlogon
Там в папраметре Shell написан путь к вирусу. Открываем папку с вирусом.
А там вместо пути к вирусу пишем explorer.exe
Теперь нужно заменить путь к Userinit.
Там должно быть C:Windowssystem32userinit.exe,
(с запятой, а то при загрузке виндовс будут открыватся библиотеки)

Теперь нужно зайти в
HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun
И удалить вирус из автозагрузки.

Теперь можно удалять сам вирус. И заодно его копии (можно найти в поиске, если они есть)
Обычно вирус находится в папке Temp,в аппдате. В аппдату можно попасть через
Win+R>%appdata%,попадете в папку Romaning из нее можно перейти в Appdata.

При включении нужно нажать F8.Или просто выдернуть из розетки и включить.
Потом нужно зайти в безопасный режим с поддержкой командной строки. Если получилось, то нужно ввести explorer.exe.
Теперь нажать Win+R и набрать regedit.И зайти в ветку:
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrentVersionWinlogon
Там в папраметре Shell написан путь к вирусу. Открываем папку с вирусом.
А там вместо пути к вирусу пишем explorer.exe
Теперь нужно заменить путь к Userinit.
Там должно быть C:Windowssystem32userinit.exe,
(с запятой, а то при загрузке виндовс будут открыватся библиотеки)

Теперь нужно зайти в
HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun
И удалить вирус из автозагрузки.

Теперь можно удалять сам вирус. И заодно его копии (можно найти в поиске, если они есть)
Обычно вирус находится в папке Temp,в аппдате. В аппдату можно попасть через
Win+R>%appdata%,попадете в папку Romaning из нее можно перейти в Appdata.

Источник

Как разблокировать Windows от вируса-вымогателя

Наверняка, каждый четвертый пользователь персонального компьютера сталкивался с различным мошенничеством в интернете. Один из видов обмана – это баннер, который блокирует работу Windows и требует отправить СМС на платный номер или требует криптовалюту. По сути это просто вирус.

Чтобы бороться с баннером-вымогателем, нужно понять, что он собой представляет и как проникает в компьютер. Обычно баннер выглядит так:

Но могут быть и другие всевозможные вариации, но суть одна – жулики хотят заработать на вас.

Пути попадания вируса в компьютер

Первый вариант «заражения» — это пиратские приложения, утилиты, игры. Конечно, пользователи интернета привыкли получать большинство желаемого в сети «на халяву», но при загрузке с подозрительных сайтов пиратского ПО, игр, различных активаторов и прочего, мы рискуем заразиться вирусами. В этой ситуации обычно помогает хороший рабочий антивирус.

Windows может быть заблокирован из-за скачанного файла с расширением «.exe». Это не говорит о том, что нужно отказываться от загрузки файлов с таким расширением. Просто помните, что «.exe» может относиться только к играм и программам. Если вы качаете видео, песню, документ или картинку, а в её названии на конце присутствует «.exe», то шанс появления баннера вымогателя резко возрастает до 99.999%!

Есть ещё хитрый ход с, якобы, необходимостью обновления Flash плеера или браузера. Может быть так, что вы будете работать в интернете, переходить со странички на страничку и однажды обнаружите надпись что «ваш Flash плеер устарел, обновитесь пожалуйста». Если вы кликаете на этот баннер, и он вас ведёт не на официальный сайт adobe.com, то это 100% вирус. Поэтому проверяйте, прежде чем кликнуть по кнопку «Обновить». Лучшим вариантом будет игнорирование подобных сообщений вовсе.

Как разблокировать Windows 7/8/10

Один из простых вариантов убрать баннер-вымогатель – это переустановка операционной системы. Помогает 100%, но переустанавливать Windows имеет смысл тогда, когда у вас нет важных данных на диске «С», которые вы не успели сохранить. При переустановке системы, все файлы удалятся с системного диска. Поэтому, если у вас нет желания заново устанавливать программное обеспечение и игры, то вы можете воспользоваться другими способами.

После лечения и успешного запуска системы без баннера вымогателя нужно провести дополнительные действия, иначе вирус может снова всплыть, или просто будут некоторые проблемы в работе системы. Всё это есть в конце статьи. Вся информация проверена лично мной! Итак, начнем!

Kaspersky Rescue Disk + WindowsUnlocker нам поможет!

Будем использовать специально разработанную операционную систему. Вся сложность в том, что на рабочем компьютере нужно скачать образ и записать его на флешку или на компакт-диск (пролистайте статьи, там есть).

Когда это будет готово, нужно загрузиться с внешнего носителя. В момент запуска появится небольшое сообщение, типа «Press any key to boot from CD or DVD». Здесь нужно нажать любую кнопку на клавиатуре, иначе запустится заражённый Windows.

При загрузке нажимаем любую кнопку, затем выбираем язык – «Русский», принимаем лицензионное соглашение с помощью кнопки «1» и используем режим запуска – «Графический». После запуска операционной системы Касперского не обращаем внимания на автоматически запустившийся сканер, а идём в меню «Пуск» и запускаем «Терминал»

Откроется чёрное окошко, куда пишем команду:

Откроется небольшое меню:

Выбираем «Разблокировать Windows» кнопкой «1». Программа сама всё проверит и исправит. Теперь можно закрыть окно и проверить, уже запущенным сканером, весь компьютер. В окошке ставим галочку на диске с ОС Windows и жмём «Выполнить проверку объектов»

Ждём окончания проверки (может быть долго) и, наконец, перезагружаемся.

Если у вас ноутбук без мышки, а тачпад не заработал, то предлагаю воспользоваться текстовым режимом диска Касперского. В этом случае после запуска операционной системы нужно сначала закрыть открывшееся меню кнопкой «F10», затем ввести в командной строке всё ту же команду: windowsunlocker

Разблокировка в безопасном режиме, без специальных образов

Сегодня вирусы типа Winlocker поумнели и блокируют загрузку Windows в безопасном режиме, поэтому скорей всего у вас ничего не получится, но если образа нет, то пробуйте. Вирусы бывают разные и у всех могут сработать разные способы, но принцип один.

Вот сюда мы должны попасть и выбрать нужную строку:

Далее, если всё пойдёт хорошо, то компьютер загрузится, и мы увидим рабочий стол. Отлично! Но это не значит что теперь всё работает. Если не удалить вирус и просто перезагрузиться в нормальном режиме, то банер снова всплывёт!

Лечимся средствами Windows

Нужно восстановить систему до ближайшей точки восстановления, когда баннера блокировщика ещё не было. Внимательно прочитайте статью и сделайте всё что там написано. Под статьёй есть видео.

Если не помогло, то нажимаем кнопки «Win+R» и пишем в окошке команду чтобы открыть редактор реестра:

Если же вместо рабочего стола запустилась чёрная командная строка, то просто вводим команду «regedit» и жмём «Enter». Нам предстоит проверить некоторые разделы реестра на наличие вирусных программ, или если быть точнее – вредоносного кода. Для начала этой операции зайдите вот по этому пути:

Теперь по порядку проверяем такие значения:

Если ОС установлена на другой диск, отличный от C:, то соответственно и буква там будет другая. Чтобы изменить неправильные значения, нажмите правой кнопкой мыши по строчке, которую нужно отредактировать, и выберите пункт «изменить»:

Здесь вообще не должно быть ключей Shell и Userinit, если есть – удаляем их.

Дальше нужно удалить все подозрительные ключи, запускаемые файлы с непонятными именами, типа «skjdghsdkj.exe», в таких ветках реестра:

Если не уверены, нужно ли удалять ключ, можно просто к параметру вначале дописать единичку «1». Путь окажется с ошибкой, и эта программа просто не запустится. Потом можно будет вернуть как было.

Теперь нужно запустить встроенную утилиту очистки системы, делаем это так же, как запускали редактор реестра «regedit», но пишем:

Выбираем диск с операционной системой (по умолчанию C:) и после сканирования отмечаем все галочки, кроме «Файлы резервной копии пакета обновления»

И жмём «ОК». Этим действием мы, возможно, отключили автозапуск вируса, а дальше нужно почистить следы его пребывания в системе, а об этом – читайте в конце статьи.

Утилита AVZ

Заключается в том, что в безопасном режиме мы запустим известную антивирусную утилиту AVZ. Кроме поиска вирусов программа имеет просто массу функций исправления системных проблем. Этот способ повторяет действия по заделыванию дыр в системе после работы вируса, т.ч. для ознакомления с ним переходим к следующему пункту.

Исправление проблем после удаления вируса-вымогателя

Поздравляю! Если вы это читаете, значит система запустилась без баннера. Теперь нужно скачать антивирусный сканер и проверить им всю систему. Если вы пользовались спасительным диском Касперского и провели проверку там, то этот пункт можно пропустить.

Ещё может быть одна неприятность, связанная с деятельностью злодея – вирус может зашифровать ваши файлы. И даже после полного его удаления вы просто не сможете воспользоваться своими файлами. Для их дешифрации нужно использовать программы с сайта Касперского: XoristDecryptor и RectorDecryptor. Там же есть и инструкция по использованию.

Но и это ещё не всё, т.к. винлокер скорей всего напакостил в системе, и будут наблюдаться различные глюки и проблемы. Например, не будет запускаться редактор реестра и диспетчер задач. Чтобы полечить систему воспользуемся программой AVZ.

Чтобы всё-таки скачать архив с программой, нужно перейти в «Загрузки» и там нажать «Скачать вредоносный файл» 🙂 Да, понимаю, что выглядит это немного глупо, но видимо хром считает, что программа может нанести вред обычному пользователю. И это правда, если тыкать там куда ни попадя! Поэтому строго следуем инструкции!

То же самое делаем и с «Приватностью», но здесь не ставьте галочки, которые отвечают за чистку закладок в браузерах и что вам ещё покажется нужным. Заканчиваем проверку в разделах «Чистка системы» и «Adware/Toolbar/Browser Hijacker Removal».

Выше я уже сказал, что этот раздел статьи также является одним из способов лечения Windows от банера-вымогателя. Так вот, в этом случае скачать программу нужно на рабочем компьютере и затем записать на флешку или на диск. Все действия проводим в безопасном режиме. Но есть ещё один вариант запустить AVZ, даже если не работает безопасный режим. Нужно запуститься, из того же меню при загрузке системы, в режиме «Устранение неполадок компьютера»

Если оно у вас установлено, то будет отображаться на самом верху меню. Если там нет, то попробуйте запустить Виндовс до момента появления баннера и выключить компьютер из розетки. Затем включите – возможно будет предложен новый режим запуска.

Запуск с установочного диска Windows

Если ничего не помогает

Относится к случаям, когда вы, по каким-то причинам, не можете загрузиться с флешки с записанным образом Касперского или программой AVZ. Вам остаётся только достать из компьютера жёсткий диск и подключить его вторым диском к рабочему компьютеру. Затем загрузиться с НЕЗАРАЖЁННОГО жёсткого диска и просканировать СВОЙ диск сканером Касперского.

Никогда не отправляйте СМС-сообщения, которые требуют мошенники. Каким бы ни был текст, не отправляйте сообщения! Старайтесь избегать подозрительных сайтов и файлов, а вообще почитайте об основах безопасности в интернете. Следуйте инструкции, и тогда ваш компьютер будет в безопасности. И не забывайте про антивирус и регулярное обновление операционной системы!

Вот видео, где всё видно на примере. Плейлист состоит из трёх уроков:

PS: какой способ помог Вам? Напишите об этом в комментариях ниже.

Источник

Как разблокировать windows или удалить winlocker.

Вот некоторые скрины вирусов (winlocker), которые блокируют рабочий стол и требуют отправить смс.

Стандартными средствами программу вымогатель(winlocker) не удалить. Если вы заплатите деньги ( суммы бывают не малые, иногда просят по 100$ ). Поверьте, если и будет снята блокировка, то ненадолго.

Поэтому на помощь нам приходит утилита для борьбы с программами-вымогателями(winlocker) — Kaspersky WindowsUnlocker, которая находится на спасательном диске Kaspersky Rescue Disk 10.

Скачать Kaspersky Rescue Disk 10 можно с официального сайта абсолютно бесплатно ( за что им огромное спасибо ).

Функции Kaspersky WindowsUnlocker.

Утилита Kaspersky WindowsUnlocker умеет лечить реестр операционных систем windows, которые установлены на вашем компьютере (даже если они на разных разделах жёсткого диска, или в разных папках одного диска), а также позволяет лечить пользовательские ветки реестра. Kaspersky WindowsUnlocker не затрагивает ваши файлы (если вам необходимо вылечить заражённые файлы используйте Kaspersky Rescue Disk 10).

Загрузка компьютера с Kaspersky Rescue Disk.

Для загрузки Kaspersky Rescue Disk 10, вам необходимо записать iso образ на компакт диск – стандартными средствами, или создать загрузочную флешку с Kaspersky Rescue Disk 10, как это сделать написано в статье Как создать загрузочную Usb флешку с Linux.

Запуск утилиты WindowsUnlocker и лечение реестра от вируса winlocker.

Для лечения компьютера от смс блокера ( программы вымогателя) при помощи Kaspersky WindowsUnlocker выполните следующее:

Если вы загрузили диск Kaspersky Rescue Disk в режиме с графическим столом KDE, нажмите на характерную кнопку для KDE в левом нижнем углу и выберите пункт меню Терминал.

В командной строке необходимо ввести команду: windowsunlocker и нажать Enter на клавиатуре.

Если вы загрузили Kaspersky Rescue Disk в режиме командной строки, тогда нажмите горячую клавишу F10. В нижней части окна программы Midnight Commander в командную строку необходимо ввести команду: windowsunlocker и нажать клавишу Enter на клавиатуре.

После запуска windowsunlocker в Терминале вы увидите меню из трёх пунктов ( что бы разблокировать экран с просьбой отправить смс, нажмите кнопку 1 ):

утилита windowsunlocker просканирует реестр и исправит его для правильной загрузки рабочего стола и удалит winlocker, по окончании всех действий windowsunlocker покажет окно с результатом проделанных действий.

Если вы нажмёте клавишу 2 — Сохранить копии загрузочных секторов, тогда windowsunlocker скопирует загрузочные сектора в созданную антивирусом папку Карантина. На экране вы увидите путь к сохранённым файлам например: /var/kl/WUnlocker.1.2.0.0_%31.12.1999_23.59.59_quarantine/

При нажатии на клавишу 0 – Выход вы выйдете из windowsunlocker и вернётесь в командную строку.

После проделанных операций, перезагружайте компьютер, при загрузке windows вы увидите что банер смс вымогателя (winlocker) пропал :).

Судя по всему у вас стоит бесплатный антивирус, типа avast, рекомендуем его удалить и поставить kaspersky internet sekurity.

Если вы смущаетесь по поводу лицензии, то можете воспользоваться сервисом яндекс, который предоставляет лицензию на антивирус ( 6 месяцев ).

А лучше всего купите себе антивирус, цена на него не очень велика — пива за день выпиваете больше чем стоит лицензия антивируса в месяц.

Источник

Удаляем Winlock вручную или как разблокировать Windows

Такого рода программы, проникая на компьютер, после перезагрузки блокируют доступ к рабочему столу Windows. Для разблокировки Windows предлагается отправить СМС, пополнить счет или какого-нибудь аккаунт платежного терминала.

Ни в коем случае не следует выполнять требования мошенников, так как этими действиями Вы спонсируете написание новых вирусов. Тем более избавится от этого вируса достаточно просто.

Как работает Winlock?

В основе работы любой версии Trojan.Winlock используются штатные средства операционной системы, которыми и организовывается «блокировка Windows».

Как разблокировать Windows и удалить Winlock?

Чтобы избавится от баннера, который блокирует работу вашего компьютера можно воспользоваться:

Удаляем Winlock с помощью ERD Commander

Фактически требуется отредактировать 2 параметра системного реестра установленной ОС Windows и очистить временные файлы используемого Вами браузера. В большинстве случаев этих действий хватает для восстановления работы ОС Windows.

Разблокировка Windows с помощью ERD Commander:

В следующем окне выбираем ОС, с которой будет проводится дальнейшая работа и нажать Enter. Это окно нужно на случай, если используется несколько ОС на одном компьютере.

еще есть
HKEY _LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs

Винлонер может также сидеть в автозагрузке

вероятно нестандартные драйвера на HD

Спасибо! Боролся с этим зверем некоторое время назад. Помимо него по машине бегало еще немало других. В итоге, пришлось руками разгонять все это.

Мне часто помогал hijackthis очень полезная програмулина

Алексей: Мне часто помогал hijackthis очень полезная програмулина

Спасибо, за программу. Хорошая штука, только комп для этого должен загружаться.

Можно грузиться с Alkid Live Cd он подгружает виндовый реестр.

Можно грузиться с Alkid live CD/USB он подгружает виндовый реестр

Алексей: Можно грузиться с Alkid live CD/USB он подгружает виндовый реестр

C этим Winlock Я даже загрузиться не смог ни со свяких лайф cd ни с загрузочных антивирусников докторов веб,езетов, касперов, авир и только загрузочная панда смогла загрузиться и издохла на кнопке (сканировать ) :)) В безопасном режиме всё тоже было заблокированно,этот же банер с пидрилами. это что за хрень,даже захочеш винду переустановить не сможеш. Подбором кодов с сайта каспера удалил гадость и почистил систему. Гад сидел в автозагрузке и в папках админа и юзера.

Спасибо за инфу – попробую при случае

alexmen13: C этим Winlock Я даже загрузиться не смог ни со свяких лайф cd ни с загрузочных антивирусников докторов веб,езетов, касперов, авир и только загрузочная панда смогла загрузиться и издохла на кнопке (сканировать ) :)) В безопасном режиме всё тоже было заблокированно,этот же банер с пидрилами. это что за хрень,даже захочеш винду переустановить не сможеш. Подбором кодов с сайта каспера удалил гадость и почистил систему. Гад сидел в автозагрузке и в папках админа и юзера.

Я думаю, тут Вы что-то не так делали, так как загрузку с LiveCD с помощью инструментов Windows заблокировать невозможно.
bq.. maks: Спасибо за инфу – попробую при случае

Я делал так, вставил старый ВИНТ с winXP в системник, в BIOSе поставил 1-м на загрузку, перезагрузился и далее AVASTом (можно DRweb и пр.) который стоял на винте просканировал основной диск он определялся как D: четыре виря (Trojan.Winlock.2741)удалились ОКНО больше непоявлялось и далее осталось востановить систему лечашими прогами, устроняя последствия от этого виря. ВЫВОД – имейте на всякий случай ЗП ВИНТ с любой ОС лучше не менее ХР и нанём Антивирь с последней базой обновления плюс хорошая лечащая прога.

Люди, помогите пожалуйста. пишет ВНИМАНИЕ! Красными буквами. И просит пополнить счет МТС на 400 рублей на номер 89165177651

-Эта прога мне не помогла, при попытки сканирования, написала.. что то типо: “Тут мы бессильны 🙂 “ ну не так конечно, но в общем ниче не смогла она сделать!

Алексей: Мне часто помогал hijackthis очень полезная програмулина

-А вот эта програмка помогла! Благо комп загрузился в безопасном режиме! (Были у меня компы, у которых Безопасный режим не загружался, после заражения… ) При сканировании, в списке нашел прогу, которая блокировала комп.. что то типо: xxx_Video!

Вообще пробовал сначала удалить с помощью сайта Касперского,в бив там номер телефона злоумышленников, один раз он мне помог! Но не в этот раз! Предоставленные коды не подошли..

Потом пошел на Nod сайт… там вообще ниче не предложили 🙁

На сайте DrWeb, нашел у них на скринах, точно такой же банер как был у моего “больного” с подписью Trojan.Winlock.2741.. там предложили один код.. но он не помог.. 🙁 уже отчаявшись и думая что придется сносить систему.. нашел этот сайт и как уже писал выше, прога мне помогла 🙂

Сейчас копм заработал, сканируется антивирусом хозяина компа Nod32, (мне он честно говоря не нравится. уже более пяти лет пользуюсь касперским и ни каких проблем.. но те кого я знаю, почему то его не любят..)

В общем всем спасибо! А сайтик этот возьму на заметку 🙂

помогите пожалуйста у меня вирус в компьютере просит смс с текстом: 79095808685 на номер 3116 билайн,
текст 600 на номер 84444 на мегафон
оплата через терминал: 89095808326 на сумму 600 руб.

На практике удаление WinLoсk выглядит так:
1. В BIOS ставим загрузку с CD
2. Загружаем что-нибудь типа xp live usb или CD (кому что нравится. или комп что поддерживает)
3. После запуска системы,берём прогу dr/web cureit (желательно свежую)и запускаем её.
4. После того как она запустится останавливаем и делаем пунктик “выборочно проверить”,указываем диск С…..запускаем и ждём пока cureit найдёт все папочки содержащие WinLoсk… успешно их лечим!
5. После 40-50минут ожидания и “убийства” троянов перегружаемся и о чудо лока нет! но и нет ничего на раб столе! Делаем откат системы на более раннюю дату….и всё в добрый путь userЫ продуктов дядюшки билла!
P/S написал инструкцию для простых пользователей работает 1000%
Возникнут вопросы пишите помогУ!

На Win 7. При старте компа – F8. Выбираем восстановление системы, потом последнюю точку восстановления – ждем 5 минут. Вируса нет.

Да для Win 7 правильное решение! Но WINLOCK остался! Чистим используя dr/web cureit!

Эта программа имеет несколько версий, которые подходят не ко всем версиям ОС. К примеру: 5.0 – WinXP, 6.0 – WinVista, а 6.5 – Win7

Однажды помогло обычное восстановление системы, запущенное с диска с виндой! А в будущем, делайте бэкапы, к примеру Акронисом.

Chemistscout: Однажды помогло обычное восстановление системы, запущенное с диска с виндой! А в будущем, делайте бэкапы, к примеру Акронисом.

Проще не посещать сайты, которые могут передать баннер, меньше кликать на всплывающие окна и не работать наконец-то из под Администратора.
Проблем будет меньше.
А бекапы надо делать всегда. Все системные администраторы делятся на тех, кто уже делает бекапы и тех, кто еще не делает бекапы 🙂

а руками удалять не?
Утилиты от Марка Руссиновича + Анлокер + нормальные конечности = успех.
ЗЫ:
Руссиновские тулзы они многогранны, и не заточены под какую то конкретную задачу, + перезагружатся не надо.

NimbleDick: а руками удалять не?
Утилиты от Марка Руссиновича + Анлокер + нормальные конечности = успех.
ЗЫ:
Руссиновские тулзы они многогранны, и не заточены под какую то конкретную задачу, + перезагружатся не надо.

А еще говорят, что Linux – это религия…

Столкнулся сегодня с подобным трояном, долго мучился.
Выход нашол такой:
Грузимся с LiveCD, выполняем поиск на файлы созданные тем числом, когда появился вирус. Я искал *.exe. Файл лежал на рабочем столе. Удаляем его, перезагружаем комп, грузимся в обычном режиме, т.е. с жёсткого диска, появляется пустой экран, вызываем диспетчер задач, запускаем редактор реестра и редактируем нужные параметры, как описано выше, перезагружаем комп, всё.

Сегодня заблокировался комп и потребовал отправить 500 руб.
на Билайновский номер. Воспользовался советами этой статьи
http://itshaman.ru/articles/262/udalyaem-winlock-vruchnuyu-ili-kak-razblokirovat-windows. Только загрузился с системного
диска в безопасном режиме с командной строкой.

NickP: Сегодня заблокировался комп и потребовал отправить 500 руб.
на Билайновский номер. Воспользовался советами этой статьи
http://itshaman.ru/articles/262/udalyaem-winlock-vruchnuyu-ili-kak-razblokirovat-windows. Только загрузился с системного
диска в безопасном режиме с командной строкой.

Ну можно и так. Кстати, неплохое решение. 😉

Народ, а где бы мне троян такой подцепить? Хочу висту на 2 компе убить)) и потом попробовать восстановить её.

gosha: Народ, а где бы мне троян такой подцепить? Хочу висту на 2 компе убить)) и потом попробовать восстановить её.

Загрузите реферат с расширением .exe 🙂

Дайте ссылки чтоль на какие-нить вредоносные сайты))
Сколько лазил, пока ничего не подцепил)

вот сайт короче не советую заходить. rezo.ucoz.ru вылез вирус синий банер… но на него я код нашел: 16342131

Ловил винлока, синенького такого. Код 16342131 не сработал, видимо новый клон. Выручило следующее:

2. В окошке вызвал Explorer – выскочил проводник, вытер из папки “Рабочий стол” странный exe файл с длинющим именем длиной

3. Затем заргузил Regedit и почистил реестр:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon], изменил параметр Shell ( REG _SZ) на значение Explorer.exe

3. Перегрузил – всё ОК!

2Bems Спасибо, помогло. Та же проблема была.

Нет никого вируса, ты что степан беленов объелся?

друзья мои нет проще ничего…. LiveCD… Тотал Коммандер… сортировка и фильтр панели на момент заражения или от роду не
более суток… оп-ля и “он” как на ладони… как правило
расширение *.pif убиваем и ресетим машину… потом смотрим на
ошибки и невозможности сыскать убитый файл.. регедит Вам в руки….

из-за враждебности среды я оброс танком

Я очень рад Соня, что Вы все самостоятельно сделали. Без помощи программиста

Студент: Обязательно ли скачивать EDR COMMANDER или можно обойтись Total Commander?

Если Вы сможете удалить все что нужно с помощью Total Commander, то ERD COMMANDER скачивать не нужно

Теперешний винлокер не только меняет ключи shell и userinit, а ещё и меняет userinit.exe и taskmgr.exe в system32 на себя. Сам хранится в разных местах, чаще всего AllUsersApplication Data.
Предотвратить заражение можно, только если не работать под администратором.

Во. Определил и версию. Trojan.Winlock.3300. Кроме того пишет свои копии (userinit.exe и taskmgr.exe) в dllcache. Куда он девает оригинальные userinit.exe и taskmgr.exe не нашёл. Пришлось копировать с др. компа. Но если включено восстановление системы, то можно просто откатиться.

При включении компа появляется текст с требованием штрафа 500р на номер Билайн.Коды с др. Вэба не помогли,Каспер ответил, что изучает. Я-то включу, то выключу комп. Ну и доигрался! При запуске винт погудит-отключится и так бесконечно, монитор даже и не включается.Можно вернуть комп к жизни? Спасибо.

Dim: При включении компа появляется текст с требованием штрафа 500р на номер Билайн.Коды с др. Вэба не помогли,Каспер ответил, что изучает. Я-то включу, то выключу комп. Ну и доигрался! При запуске винт погудит-отключится и так бесконечно, монитор даже и не включается.Можно вернуть комп к жизни? Спасибо.

Можно, изучайте статью

у меня синий банер требует 400 р на номер мтс через терминал.касперский пишет,что кодов разблокировки не предусмотрена,в безопасном режиме тот же банер.что делать?live cD скачивать где то надо,а я сижу с телефона((

Я все таки разблокировал свой комп благодаря данным рекомендациям. Спасибо автору. А все началось с того, что решил поменять Нортон антивирус на Нод32, так как подписка закончилась на Нортон, а продление можно было оплачивать только по кредитной карте. На третий день после установки Нод32 комп заблокировался (синий банер требует 500 р на номер мтс через терминал). Боролся с этой напастью 3 дня. Чего только не пробовал. И Касперский, и Доктор Веб..ничего не помогло. Удалил гада с помощью ERD Commander (сначала удалил временные файлы, а потом отредактировал системный реестр). Установил старый добрый Нортон антивирус, оплатил продление и не знаю никаких проблем с тех пор.

помогите убрать баннер,с касперского никаких кодов нет,я девушка и с компом на “вы” не могли бы вы по обывательски по порядку рассказать что сделать,в инструкции касперского не могу разобраться-слишком много всего

у меня такаяже проблема, но у меня стоит интернет секюрити и она кабы прикрывает этот банер своей програмой(надо сиволишь подождать некоторое время).. как программа закроет банер я сразу вызываю диспечер задач и там нажимаю Новая задача и ввожу explorer мне выдвигается рабочий стол с рабочим интернетом и шарю как можно удалить этот банер без помощи программ… но найти не могу….(((
помагите плизз.

…проще всего сделать востановление системы, средствами windows, с последней контрольной точки. помогает 95%

inohodec : Читаю и улыбаюсь ))) Ну есть же инструмент от касперского

inon: …проще всего сделать востановление системы, средствами windows, с последней контрольной точки. помогает 95%

В статье показан универсальный способ, который не является самым простым. Можно в некоторых случаях и Касперским вылечить, и восстановить Windows, но это помогает не всегда.

Удаление вируса-вымогателя и исправление загрузочной записи с помощью AntiWinLocker LiveCD

В этой инструкции рассматривается возможность удаления Trojan.Winlock смс-вирусов, блокирующих загрузку windows, и описывается способ исправления загрузочной записи с помощью AntiWinLocker LiveCD.

1. Скачиваем образ AntiWinLockerLiveCD.iso — 145 Mb.;
http://virus-free.ru/upload/tools/AntiWinLockerLiveCD.iso

5. В главном меню «AntiWinLocker LiveCD», нажимаем кнопку «СТАРТ»:
6. В окне «AntiWinLocker LiveCD» нажимаем кнопку «Вручную»:

8. Если под кнопкой «Загрузить», в текстовых окнах появился красный текст необходимо исправить изменённые вирусом параметры реестра. Для этого нажимаем сначала кнопку «По умолчанию», потом «Сохранить»:

10. После исправления загрузочного сектора, кликаем надпись «Для выхода выгрузите все кусты реестра…Нажмите здесь…»;

Удаление вируса-вымогателя и исправление загрузочной записи с помощью AntiWinLocker LiveCD
В этой инструкции рассматривается возможность удаления Trojan.Winlock смс-вирусов, блокирующих загрузку windows, и описывается способ исправления загрузочной записи с помощью AntiWinLocker LiveCD.

1. Скачиваем образ AntiWinLockerLiveCD.iso — 145 Mb.;
http://virus-free.ru/upload/tools/AntiWinLockerLiveCD.iso

5. В главном меню «AntiWinLocker LiveCD», нажимаем кнопку «СТАРТ»:
6. В окне «AntiWinLocker LiveCD» нажимаем кнопку «Вручную»:

8. Если под кнопкой «Загрузить», в текстовых окнах появился красный текст необходимо исправить изменённые вирусом параметры реестра. Для этого нажимаем сначала кнопку «По умолчанию», потом «Сохранить»:

10. После исправления загрузочного сектора, кликаем надпись «Для выхода выгрузите все кусты реестра…Нажмите здесь…»;

Статья правильная, НО.
Забыли что часто происходит замена userinit.exe самим вирусом.
и еще taskman.exe (диспечер задач). Причем копия этих вирусов под теми же именами лежат в папке dllcache в system32.
Очень редко попадали и сам explorer.exe.
Поэтому правим в реестре как описано в статье, далее смотрим на файлы:
explorer.exe, userinit.exe и taskman.exe (видимо хитро придумали запускать тот же троян тремя кнопками))))
если они не “они”, то нужно восстановить их из Винды другой, или с установочным диском Винды в командной строке expand userinit.ex_ userinit.exe и др. положить все на свои места sustem32 и dllcache…
Это для ХР,а для 7 – описано выше…
Главное смотрите – если загружается в графический режим – значит в реестре “сидит”, если сразу в текстовом – значит в загрузочном секторе.
Удачи всем!

Так,люди тоже баннер вышел,почистила реестр,подправив файлы юзернит и шел.Стал видеть рабочий стол,но баннер остался,причем курсор не выходит за пределы баннера,не знаю что делать =(

Поймал тоже трояна, долго пытался изменить реестр но там все отлично, проблемма в том, что у меня несколько пользователей и троян как раз у администратора, остальные пользователи работают нормально, а админ ни как. Запускал ESET ничего не нашел, долго мучился пока не запустил поиск файлов через командную строку у админа, файл назывался mc находился в папке пользователи, после его удаления все заработало. Тут же ловлю такуюже бяку, но уже через 5 минут комп работает.

Интересная статья. Вот тут еще детально и подробно рассказано, как эти винлоки попадают в компьютеры http://infsecvir.ru/trojan-winlock-o-processe-zarazheniya. Будьте осторожны!

помогите пожалуйста разблокировать нетбук.при включении появляется надпись,“что типа я оштрафован, и поэтому мне нужно зачислить 600руб на этот номер 89173989583.что после зачисления получишь смс с кодом для разблокировки

Помогите пожалуйста!
Сколько уже стараюсь, но никак не получается… Как заблокировать Ubuntu? Будет ли WinLook работать под wine?

Dream: Сколько уже стараюсь, но никак не получается… Как заблокировать Ubuntu? Будет ли WinLook работать под wine?

Спасибо! У меня все получилось не применяя каких-либо дополнительных программ. Загрузил комп. в безопасном режиме с командной строкой, запустил explorer, из него очистил папку temp и все загруженные файлы днем ранее, проверил реестр, изменений не было. Win загрузилась, проверил антиаирусом, все почистил.

Я разблокировал систему вот так:
1. при перезагрузке жмем F8;
2. выбераем безопасный режим с поддержкой командной строки;
3. в командной строке набираем команду explorer;
4. открываем диск с виндой (у меня С);
5. ищем все экзешники (поиск: *.exe);
6. сортируем по дате создания;
7. среди последних файлов ищем подозрительный и удаляем его

Остальные методы не сработали и антивирусы тоже не помогли

Здравствуйте. Хочу поделится инструкцией по удалению
порно-баннера. На днях мой друг поймал такой
баннер. Долго мы с ним искали способ разблокировать windows, много всякого пишут в интернете, но ответ нашли на этом ресурсе – http://freeantivirus.3dn.ru/index/instructions_to_remove_the_banner/0-729 Может кому пригодиться. Большое спасибо всем, кто пытался нам помочь.

Вирус заблокировал комп,не могу зайти, я не программист,синий баннер с предложением заплатить деньги за код

Привет. У меня было что то вроде Trojan.Winlock.6492 номер 79030179963. Коды с сайта др веб не подошли. Оказалось просто. При загрузке нажал Ctrl+Alt+Del выбрал Диспетчер задач, нужно делать быстро он закроется секунды через 2-3 и появится окно банера. Так вот в нем захожу в процессы убиваю abc.exe и все. Банер не появляется. Рабочий стол запускать естественно нельзя. Сначала открываю мой комп через Диспетчер кнопка Новая задача Обзор.. ну и ищу на диске С файл abc.exe их удаляю ставлю антивирус и все ок.

Добавьте информацию про утилиту AntiSMS:
http://antivir.host22.com/metodika/0035.html
Она позволяет очень просто удалять баннеры-вымогатели, даже неопытному пользователю.

Пожалуйста помогите и подскажите что делать. чера заблокироали Винду эти дурайким окном от номер может кто-нибудь знает где найти код разблокироки… Помогите очень вас прошу нужно срочно…((

Вирус сидел в documents and settings – имя пользователя.
Копия была в c:program filescommon filessystemole db
С расширением exe

я скачал антилокер записал на диск но не получается загрузить безопасный режим что делать помогите плиз

Смог удалить блок винды с помощью запуска в безопасном режиме, но только с командной строкой explorer.exe. Просто в безопасном режиме не восстанавливался. Потом сделал откат системы, и всё заработало!)

помогите разблокировать виндос номер пишут 79060547124 пожалуйста

помогите разблокировать виндос, номер пишут 79639494526, водил штук сорок кодов и бесполезно, ПОМОГИТЕ

В диспетчере задач висит приложение LokoMoTO это Trojan.Winlock.6999 или 6613 (Исполняемый файл вредоносного ПО имеет имя xxx_video.scr, MVbCn7d.exe, MXROH _U_MF.EXE, YWR4ATG.EXE)
Сам лично друзям вылечил недуг.
Кодов разблокировки не существует

Быстро исправляем проблему самостоятельно, в два шага, грузимся в безопасный режим с поддержкой коммандной строки и выполняем:
1. команда rstrui
2. команда cleanmgr
Кому не понятно читаем здесь http://fixtoolz.ru/instrukcii-dokumentaciya-opisanie-rukovodstva-po-kategorii/zablokirovalsya-kompyuter-windows/24-01-2013-vash-kompyuter-zablokirovan-za-prosmotr-shtraf-2000-rubley-bilayn

Поставьте UBUNTU и будет вам счастье.

скачайте AntiWinLocker LiveCD, запишите на CD и запустите с него комп. Там все ясно прописано как лечить. Просто и качественно.

Я его убрал через восстановление системы ;D

была такая проблема.. боролся с ней долго и мучительно. испробовал все коды разблокировки, др веб не помог.. благо ноут был немного слабоватеньким. долго грузился… при загрузке удерживая ctrl+alt+del вызвал диспетчер задач, и быстренько удалил запускающееся неизвестное приложение… раза три он пытался запуститься… как он успокоился.. дальше пошла нормальная загрузка виндовс. дальше пошел в корень диска с и вручную удалил этот вирус.. а также из автозагрузки. и все.. вуаля… получилось)

у меня попался баннер так я его убрал легко там просто жал на кнопки раз 20 ctr+alt+delete он сам убрался и потом рабочий стол тоже а щас я сам баннеры делаю чтобы читеров наказать или просто тока им пароль говорю но он иногда меняется сам

Источник

• Главная
• Удаление вирусов
• Как удалить винлокер со своего…

Как удалить винлокер со своего компьютера

В последнее время большое распространение получили так называемые вредоносные программы, которые «берутся неоткуда» и «блокируют Windows». Официальное название такого ПО — Trojan.Winlock.n, который к настоящему времени насчитывает несколько десятков версий.

Такого рода программы, проникая на компьютер, после перезагрузки блокируют доступ к рабочему столу Windows. Для разблокировки Windows предлагается отправить СМС, пополнить счет или какого-нибудь аккаунт платежного терминала.

Ни в коем случае не следует выполнять требования мошенников, так как этими действиями Вы спонсируете написание новых вирусов. Тем более избавится от этого вируса достаточно просто.

Как работает Winlock?

В основе работы любой версии Trojan.Winlock используются штатные средства операционной системы, которыми и организовывается «блокировка Windows».

Фактически алгоритм действия примерно такой:

1. Скрипт Trojan.Winlock попадает на ваш компьютер при отключенном брандмауэре Windows 7. Способы попадания используются различные, начиная от клика по «лжебаннеру» и заканчивая установкой вируса самим пользователем, который может находится в «крякнутом» платном ПО. В основном Trojan.Winlock находится во временных директориях используемого браузера.
2. Скрипт при активации подменят значения системного реестра. Чаще всего подменяется Shell-оболочка, по-умолчанию которой в Windows выступает Explorer. То есть вместо загрузки Explorer`а прописывается загрузка окошка с просьбой-вымогательством. При успешной «активации» это значение заменяется обратно на стандартный Explorer.
3. После перезагрузки ОС Вы получаете окно с вымогательствами.

Как разблокировать Windows и удалить Winlock?

Чтобы избавится от баннера, который блокирует работу вашего компьютера можно воспользоваться:

1. различными on-line сервисами антивирусных компаний, которые собирают данные, поступившие к ним от пользователей. Это самый простой способ, но «активировать» самые последние версии Trojan.Winlock им не под силу. Вот перечень web-сервисов:
   • Dr.Web
   • Eset NOD32
   • Kaspersky

   Вводите номер телефона вымогателя и получаете фразу разблокировки.

2. воспользоваться инструментом системного администратора ERD Commander (145 Мб), который является LiveCD с операционной системой Windows, способной редактировать системный реестр установленной ОС.

Удаляем Winlock с помощью ERD Commander

Фактически требуется отредактировать 2 параметра системного реестра установленной ОС Windows и очистить временные файлы используемого Вами браузера. В большинстве случаев этих действий хватает для восстановления работы ОС Windows.

Разблокировка Windows с помощью ERD Commander:

1. Загружаемся с LiveCD-диска ERD Commander`а. При загрузке ERD Commander`а появится окно подключения локальной сети.
   
   Нажимаем Skip, так как сеть нам не понадобится.

   В следующем окне выбираем ОС, с которой будет проводится дальнейшая работа

   
   и нажать Enter. Это окно нужно на случай, если используется несколько ОС на одном компьютере.

2. Удаляем временные файлы ОС и используемого Вами браузера. Для этого воспользуемся ярлыком My Computer. Очистить необходимо директории:
   • C:WindowsTemp
   • C:Documents and SettingsлогинLocal SettingsTemporary Internet Files
   • C:Documents and SettingsлогинLocal SettingsApplication DataOperaOperacache
   • C:Documents and SettingsлогинLocal SettingsApplication DataOperaOperacache
3. Редактируем системный реестр Windows. Запускаем Start > Administrative Tools > Registry Editor:
   • изменить параметр Userinit (REG_SZ), который находится [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon], на значение C:WINDOWSsystem32userinit.exe
   • изменить параметр Shell (REG_SZ), который находится там же, на значение Explorer.exe

   Должно получится так:
   

4. Перезагружаем компьютер и для надежности проверяем ОС бесплатным антивирусом, к примеру, этим.

Комментарии (94)