[TC] "WINDOWS ЗАБЛОКИРОВАН"
Привет всем читающим.
Возможно эта тема в рассылке обсуждалась, но на всякий
случай повторюсь, так как с полгода назад у моего товарища
случилось беда, поймал вирус в блокировкой WINDOWS и с
предложением выслать смс с кодом разблокировки.
После неудачных попыток самостоятельно разобраться с
этой напастью, он вынужден был переустановить систему.
На днях в интернете наткнулся на статью помогающую
разрешить эту проблему, по этому решил повториться
и пересказать ее дословна.
" Если загрузка компьютера блокирована и на экране появилось
окно с надписью "WINDOWS ЗАБЛОКИРОВАН" - вы стали жертвой
семейства вредоносных программ Trojan.Winlock. он же Win32.Blocker
предназначенных для шантажа и вымогательства.
При установке на компьютер эти зловреды прописываются в автозагрузку,
в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon],
параметр "Userinit", в результате чего блокируют запуск ОС.
Получив управление на запуске ОС, зловреды отображают окно с
требованием отправить SMS с определенным текстом на
указанный короткий номер.
В ответ пользователю обещают выслать код разблокировки,
который отключит вредоносную программу и разблокирует
загрузку компьютера.
Как справиться с этой заразой, мы и попытаемся выяснить...
Самое главное: Не поддаваться на уловки вирусописателей,
отправляя им запрашиваемые SMS, блокировка всё равно не снимется,
а денег снимут прилично !
Сам по себе Trojan.Winlock. он же Win32.Blocker несложно удалить при
помощи AVZ, AVPTool, Dr.Web CureIt! или вручную из
редактора реестра, но есть одна проблема -- загрузка ПК блокирована,
и пользователь не может получить доступ к рабочему
столу и запустить какие-либо программы или утилиты.
Защищённый режим Windows также заблокирован
Что делать, как быть ?
Во первых, если под рукой есть другой компьютер с интернетом,
то для вас компания Dr.Web сделала генератор кодов
разблокировки. Здесь вы можете найти данный генератор.
Просто введите ваш текст СМС, и сгенерируйте код активации.
После этого вы сможете попасть на рабочий стол и бороться дальше.
Второе, чем можно воспользоваться: это диск с Live CD и одна из антивирусных
утилит,
я предпочитаю Dr.Web CureIt!. Скачать последнюю версию всегда можно здесь.
Вставляем диск с LiveCD в дисковод, заходим в БИОС,
выставляем загрузку с CD-ROM, и загружаемся. Потом запускаем
Dr.Web CureIt! с флешки или с диска, и проверяем системный раздел.
И третье: есть ещё один метод входа в систему без использования LiveCD
1. Нажать комбинацию WIN-U на клавиатуре -- появится окно активации
специальных возможностей. Оно, как оказалось,
имеет очень высокий приоритет, и троянец ему не помеха.
2. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко,
в котором есть гиперссылка <<Веб-узел Майкрософт>>.
Если нажать её, то запускается IE.
3. После запуска IE можно загружать из него любые целебные утилиты
типа AVZ, AVPTool, или Dr.Web CureIt! и запускать программы с диска ПК
(в строке адреса можно указать любую программу), online-сканер и т.п.
Можно попытаться уничтожить эту заразу вручную:
Открываем regedit и идём HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit
Там должна быть только запись вида <<C:\Windows\system32\userinit.exe,>>
В нашем случае вирус дописал в конце данной строчки свой запуск.
Ищем файл, прописанный в данной строчке и прибиваем его
Искать вирус надо примерно в таких папках:
с:\windows\temp
c:\windows\system32\название вируса*.exe
C:\Documents and Settings\User\Local Settings\Temp
C:\Documents and Settings\User\Local Settings\Temorary innternet files
Названия всегда разные
Когда он только появился, то он самоуничтожался через два часа,
теперь этого не происходит.
Судя по комментариям и сообщениям в интернете эта зараза
постоянно модифицируется.Меняется номер и код для sms-сообщений,
меняются имена файлов. Верным средством является чистка всех
временных папок и полная проверка системного раздела антивирусом
со свежими базами.
Удачи вам в борьбе с этим зловредным вирусом ! "
Конец статьи.
Если кому нибудь или его знакомым пригодится, буду рад.
Удачи всем.
Виктор.
