Windows заблокирован
Если загрузка компьютера блокирована и на экране появилось окно с надписью "WINDOWS ЗАБЛОКИРОВАН" - вы стали жертвой семейства вредоносных программ Trojan.Winlock. он же Win32.Blocker, предназначенных для шантажа и вымогательства.
При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС.
Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер.
В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера.
Как справиться с этой заразой, мы и попытаемся выяснить...
Сам по себе Trojan.Winlock. он же Win32.Blocker несложно удалить при помощи AVZ, AVPTool, Dr.Web CureIt! или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.
Что делать, как быть ?
Во первых, если под рукой есть другой компьютер с интернетом, то для вас компания Dr.Web сделала генератор кодов разблокировки. Здесь вы можете найти данный генератор.
Просто введите ваш текст СМС, и сгенерируйте код активации. После этого вы сможете попасть на рабочий стол и бороться дальше.
Второе, чем можно воспользоваться: это диск с Live CD и одна из антивирусных утилит, я предпочитаю Dr.Web CureIt!. Скачать последнюю версию всегда можно здесь. Вставляем диск с LiveCD в дисковод, заходим в БИОС, выставляем загрузку с CD-ROM, и загружаемся. Потом запускаем Dr.Web CureIt! с флешки или с диска, и проверяем системный раздел.
И третье: есть ещё один метод входа в систему без использования LiveCD
1. Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.
2. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE.
3. После запуска IE можно загружать из него любые целебные утилиты, типа AVZ, AVPTool, или Dr.Web CureIt! и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.
Можно попытаться уничтожить эту заразу вручную:
Открываем regedit и идём HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit
Там должна быть только запись вида «C:\Windows\system32\userinit.exe,»
В нашем случае вирус дописал в конце данной строчки свой запуск.
Ищем файл, прописанный в данной строчке и прибиваем его
Искать вирус надо примерно в таких папках:
с:\windows\temp
c:\windows\system32\название вируса*.exe
C:\Documents and Settings\User\Local Settings\Temp
C:\Documents and Settings\User\Local Settings\Temorary innternet files
Названия всегда разные
Когда он только появился, то он самоуничтожался через два часа, теперь этого не происходит.
Судя по комментариям и сообщениям в интернете эта зараза постоянно модифицируется. Меняется номер и код для sms-сообщений, меняются имена файлов. Верным средством является чистка всех временных папок и полная проверка системного раздела антивирусом со свежими базами.
Удачи вам в борьбе с этим зловредным вирусом !
Похожая статья
< < | > > |
---|
Комментарии
Это точно не BSOD (синий экран с ошибкой Windows)?
RSS лента комментариев этой записи.