Всем привет.
Предложу не большую статейку на эту тему.
Если загрузка компьютера блокирована и на экране появилось окно с надписью
"WINDOWS ЗАБЛОКИРОВАН" - вы стали жертвой семейства вредоносных программ
Trojan.Winlock. он же Win32.Blocker, предназначенных для шантажа и вымогательства.
При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ
реестра
[Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit",
в результате чего блокируют запуск ОС.
Получив управление на запуске ОС, зловреды отображают окно с требованием
отправить SMS с определенным текстом на указанный короткий номер.
В ответ пользователю обещают выслать код разблокировки, который отключит
вредоносную программу и разблокирует загрузку компьютера.
Как справиться с этой заразой, мы и попытаемся выяснить...
Самое главное: Не поддаваться на уловки вирусописателей, отправляя им запрашиваемые
SMS, блокировка всё равно не снимется, а денег снимут прилично !
Сам по себе Trojan.Winlock. он же Win32.Blocker несложно удалить при помощи
AVZ, AVPTool, Dr.Web CureIt! или вручную из редактора реестра, но есть одна
проблема -- загрузка ПК блокирована, и пользователь не может получить
доступ к рабочему столу и запустить какие-либо программы или утилиты.
Защищённый режим Windows также заблокирован.
Что делать, как быть ?
Во первых, если под рукой есть другой компьютер с интернетом,
то для вас компания Dr.Web сделала генератор кодов разблокировки.
Здесь вы можете найти данный генератор.0После этого вы сможете попасть
на рабочий стол и бороться дальше.
Второе, чем можно воспользоваться: это диск с Live CD и одна из
антивирусных утилит, я предпочитаю Dr.Web CureIt!. Скачать последнюю
версию всегда можно здесь. Вставляем диск с LiveCD в дисковод, заходим в БИОС,
выставляем загрузку с CD-ROM, и загружаемся. Потом запускаем Dr.Web CureIt! с
флешки или с диска, и проверяем системный раздел.
И третье: есть ещё один метод входа в систему без использования LiveCD
1. Нажать комбинацию WIN-U на клавиатуре -- появится окно активации
специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет,
и троянец ему не помеха.
Windows заблокирован
2. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко,
в котором есть гиперссылка <<Веб-узел Майкрософт>>. Если нажать её, то запускается
IE.
Windows заблокирован
3. После запуска IE можно загружать из него любые целебные утилиты, типа AVZ,
AVPTool,
или Dr.Web CureIt! и запускать программы с диска ПК (в строке адреса можно указать
любую
программу), online-сканер и т.п.
Можно попытаться уничтожить эту заразу вручную:
Открываем regedit и идём HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon в Userinit
Там должна быть только запись вида <<C:\Windows\system32\userinit.exe,>>
В нашем случае вирус дописал в конце данной строчки свой запуск.
Ищем файл, прописанный в данной строчке и прибиваем его
Искать вирус надо примерно в таких папках:
с:\windows\temp
c:\windows\system32\название вируса*.exe
C:\Documents and Settings\User\Local Settings\Temp
C:\Documents and Settings\User\Local Settings\Temorary innternet files
Названия всегда разные
Когда он только появился, то он самоуничтожался через два часа, теперь этого
не происходит.
Судя по комментариям и сообщениям в интернете эта зараза постоянно
модифицируется. Меняется номер и код для sms-сообщений, меняются имена файлов.
Верным средством является чистка всех временных папок и полная проверка
системного раздела антивирусом со свежими базами.
Удачи вам в борьбе с этим зловредным вирусом !
