Троян заблокував Windows

Зміст

Ваш Windows заблоковано

Троян – віруси сімейства Winlock, які блокують роботу системи Windows – справжні здирники грошей. Протягом кількох останніх років вони не тільки еволюціонували, а й почали являти собою серйозну проблему безпеки комп'ютерних систем. Ми пропонуємо прочитати рекомендації, як можна боротися з ними самостійно, а іноді навіть запобігти зараженню власного комп'ютера.

Троянський вірус з'являється в системі швидко, а найстрашніше – непомітно. Користувач виконує звичні дії, переглядає сторінки, спілкується чи завантажує необхідні файли. І раптом на екрані з'являється банер, який просто неможливо прибрати. Картинки банерів можуть бути різними - порнографічними або навіть грізно оформленими.

Але в результаті від користувача вимагають перерахувати необхідну суму грошей на рахунок або надіслати платне SMS. Такі банери розміщуються завжди поверх всіх інших вікон для привернення уваги користувача. Наприкінці тексту повідомлення практично завжди можна зустріти загрозу про кримінальне переслідування або видалення всіх папок і файлів з дисків комп'ютера, у разі якщо переказ коштів не буде виконано протягом лімітованого проміжку часу.

Сподіваємося, ви розумієте, що жодних операцій грошових перерахувань проводити не слід. Для початку бажано спробувати з'ясувати оператора вказаного номера стільникового зв'язку, потім повідомити про те, що сталося у службі безпеки. Іноді оператори навіть зможуть підказати вам розблокувальний код в онлайн-режимі, проте надто вже не варто розраховувати на таке «щастя».

Воюємо самостійно

Код розблокування дійсно існує, його можна застосувати для знищення деяких троянів. Дуже рідковідбувається процес їх самостійного видалення після введення правильного коду, який можна іноді отримати, зайшовши на відповідні розділи на сайтах антивірусних компаній. приклад.

Компанія "Лабораторія Касперського" також пропонує сервіс для розблокування системи.

Якщо вам вдалося вдало завершити розблокування, не поспішайте радіти та вимикати комп'ютер. Завантажте якийсь антивірус безкоштовно і дайте команду системі виконати перевірку. Рекомендуємо використовувати утиліти Kaspersky VRT (Virus Removal Tool) або Doctor WEB Cure It.

Лікування від вірусів

Перш ніж скористатися складними методами та спеціальним софтом, потрібно спробувати використовувати наявні кошти.

Натиснувши клавіші CTRL+SHIFT+ESC або стандартну комбінацію CTRL+ALT+DEL, викликаємо диспетчер завдань. Якщо ця дія спрацювала, значить, вам доведеться битися з простим варіантом вірусу. Більше того, боротьба буде швидкою та нескладною. Вам необхідно просто знайти назву вірусу у списку робочих процесів та вибрати опцію «примусове завершення».

Підозрительно незрозумілий процес, який виявлено у диспетчері завдань, може бути трояном.

Якщо ви знайшли невиразне ім'я процесу та відсутність його опису, значить, ви дієте правильно. Залишається лише завершити такий процес. Також можна просто почати завершувати по черзі всі «підозрілі» процеси, доки банер не зникне.

Якщо диспетчер не запускається, можна спробувати використати розширений менеджер процесів. Нижче можна побачити, який вигляд має процес, що викликає підозри, у System Explorer.

System Explorer – це розширений менеджер процесів

Завантажити цю програму можна будь-яким доступним способом. Вибравши команду "Перевірити", ви запустите пошук інформаціїпро певний процес у базі даних online, але найчастіше картина і так стає зрозумілою. Закривши банер, слід перезапустити "Провідник", обравши процес explorer.exe. У системному диспетчері процесів слід натиснути:

Файл »Нове завдання »c:\Windows\explorer.exe.

Коли троян тимчасово деактивовано, вам залишилося просто знайти файл, а потім видалити його. Ці дії можна виконати вручну або скориставшись програмою безкоштовного антивірусу.

AutoRuns продемонструє всі об'єкти, що мають режим автозапуску (на демонстраційній версії скріншота можна побачити лише малу частину).

Військові хитрощі

"Перемогти" троян на початковому етапі можна, якщо знати особливості поведінки стандартних програм. Побачивши банер, спробуйте запустити Блокнот або WordPad. Натиснувши WIN+R, спробуйте написати notepad з наступним натисканням кнопки ENTER. Внизу під банером ви побачите новий документ Word. Набравши будь-яку абракадабру, коротко натисніть вимкнення живлення безпосередньо на системному блоці. Це має призвести до того, що всі процеси почнуть завершуватися, включаючи троянський вірус, але комп'ютер не вимкнеться.

Блокнот допомагає повернути доступ адміну!

На екрані залишиться вікно "Зберегти зміни у файлі?". Отже, ми прибрали з екрану банер на час сеансу і можемо спробувати добити шкідливого трояна до початку перезавантаження.

Стара школа

Просунуті сучасні версії троянів мають засоби протидії всім спробам, спрямованим на позбавлення від них. Такі віруси здатні заблокувати запуск системного диспетчера завдань, замінюючи інші компоненти системи.

Ключі реєстру, які часто модифікуються троянами Winlock

Часто побачити повні шляхи безпосередньо до файлів троянуможна в розділах Shell і Userinit гілки реєстру HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

У Shell відбувається запис трояна замість explorer.exe, а в Userinit він вказується безпосередньо після коми. Необхідно скопіювати повне ім'я файлу трояна в буфер обміну з першого запису, який було виявлено. У рядку команди пишемо del, далі робимо пробіл і, клацнувши мишкою, відкриваємо контекстне меню.

У ньому необхідно виділити команду «Вставка» та натиснути ENTER. Таким чином, файл трояна буде видалено. При видаленні трояна з консолі, файл, що видаляється, розташовується в тимчасовій папці.

У реєстрі операційної системи необхідно також здійснити пошук на ім'я файлу трояна, уважно переглядаючи всі записи, які були знайдені та видаляючи всі підозрілі. Далі переходимо до очищення всіх тимчасових папок та кошика. На завершення потрібно виконати сканування за допомогою будь-якого антивірусу.

Якщо троян заблокував роботу мережевих підключень, їх можна спробувати відновити за допомогою невеликої, але потужної утиліти AVZ через налаштування Windows Sockets API.

Тонка праця

У випадках серйозних заражень майже марно намагатися боротися всередині інфікованої системи. Логічно завантажитись з будь-якої іншої чистої системи та відносно спокійно спробувати вилікувати основну, заражену систему. Існують різні способи це зробити, але один із найпростіших - безкоштовна утиліта Kaspersky WindowsUnlocker. Аналогічно Dr WEB LiveCD ця програма заснована на Gentoo Linux. Файл - образ записуємо на якусь болванку або робимо завантажувальний Flash накопичувач, вдавшись до допомоги утиліти Kaspersky USB Rescue Disk Maker.

Створюємо завантажувальний Flash накопичувач, використовуючи образ Kaspersky Rescue Disk

Досвідченікористувачі можуть зробити це заздалегідь, а решта найчастіше звертаються до друзів, колег або відправляються до найближчого інтернет-клубу, коли вже відбулося зараження.

Під час увімкнення зараженого комп'ютера необхідно утримувати клавішу, щоб увійти до комп'ютера BIOS. Зазвичай, це кнопки DELETE або F2, відповідне запрошення буде відображено внизу екрана. Далі потрібно вставити Kaspersky Rescue Disk або заздалегідь підготовлену завантажувальний Flash накопичувач. У Boot options (налаштування варіантів завантаження) першим завантажувальним пристроєм вибираємо CD/DVD-привід або Flash накопичувач. Наступний крок - збереження змін F10 та вихід з BIOS.

Більшість сучасних версій BIOS пропонують вибрати завантажувальний пристрій у процесі завантаження, не входячи до основних налаштувань. Потрібно натиснути F11, F12 або клавіші, вказані на екрані. Після перезавантаження відбудеться запуск Kaspersky Rescue Disk.

Боротьба на ранніх етапах

Окремим підкласом є троянські віруси, які вражають головний запис завантаження диска комп'ютера (MBR). Вони можуть з'явитися на екрані ще до завантаження операційної системи, і відсутні у розділах автозапуску.

Початкові етапи боротьби з такими вірусами полягають у відновленні MBR до початкового стану. Для випадку XP необхідно завантажити з інсталяційного диска Windows, натиснути клавішу R і викликати консоль відновлення, де і потрібно написати команду fixmbr. Далі підтверджуємо її, натиснувши Y, розпочавши перезавантаження. Windows 7 як така утиліта використовує BOOTREC.EXE і, відповідно, синтаксис команди буде наступним:

Bootrec.exe/FixMbr

Після проведення даних маніпуляцій система починає завантажуватись повторно. Можна розпочати подальший пошук фізичних копій трояна.

Виколупуємо вірус за допомогою хрестової викрутки

Боротьба з вірусами троянського типу може бути довгою і затягнутою, якщо у вас ноутбук або малопотужний комп'ютер, оскільки є труднощі при завантаженні з інших пристроїв, а перевірка займає час. Найпростіше рішення - просто витягти вінчестер із зараженою системою і підключити його фізично до іншого комп'ютера. Можна скористатися спеціальними боксами, обладнаними інтерфейсом eSATA або USB 3.0/2.0.

Щоб не поширювати віруси, попередньо потрібно відключити на комп'ютері, що «лікує», можливість автозапуску з HDD. Зробити це найлегше за допомогою утиліти AVZ, яка, до речі, безкоштовна, а безпосередньо перевірку краще виконати чимось іншим. Відкриваємо меню «Файл», вибираємо «Майстри пошуку та усунення проблем». Зазначаємо «Системні проблеми», «Всі» та натискаємо «Пуск». Після цього необхідно відзначити пункт «Дозволено автозапуск з HDD» та натиснути «Виправити зазначені проблеми».

Відключаємо автозапуск

Також, перед приєднанням зараженого вінчестера необхідно переконатися, що антивірус на комп'ютері вже запущений в режимі монітора і є нові (оновлені) антивірусні основи.

Надалі, щоб запобігти повторному зараженню, слід встановити антивірус (будь-який) за допомогою режиму реального часу моніторингу системи, а також виконувати загальні правила безпеки:

  • працювати, безпосередньо входячи до облікового запису, що передбачає обмежені права;
  • користуватися альтернативними WEB браузерами - багато заражень відбувається саме через дірки безпеки Internet Explorer;
  • відключати Java-скрипти для невідомих сайтів;
  • вимикати автозапуск для змінних носіїв;
  • програми та оновлення встановлювати, користуючисьлише офіційними сайтами розробників;
  • намагатися завжди звертати увагу на шлях пропонованого посилання;
  • блокувати небажані вікна, що спливають;
  • своєчасно встановлювати оновлення для браузерів, системних та загальних компонентів.

Якщо вас цікавить ця тема, відвідайте проект GreenFlash. Там ви знайдете різноманітні корисні та цікаві рішення, а також рекомендації для створення завантажувального Flash накопичувача.

Проте не слід забувати, що поширення вірусів троянів Winlock торкнулося не лише України та країн ближнього зарубіжжя. Відомі їх модифікації з локалізацією на всі мови світу.

Додаткова інформація на тему

Опис кількох методів за допомогою яких можна заблокувати запуск тієї чи іншої програми Windows

У статті розповідається про процес налаштування локальної обчислювальної мережі серед Windows 7

Тут перелік кількох способів, як відкрити заблоковані сайти на території України

Трапляється, що користувачі забувають свої паролі, в такому випадку їх можна відновити, використовуючи обліковий запис адміністратора або спеціальні програми