Лучший ответ
-
2 0
shabranigda 4 (1521)38 11 лет
Если безопасный режим не блокируется вирусом, то можно загрузиться с него и сделать восстановление системы
Винлок (англ. Winlock) — троян-вымогатель, актуальная беда рядовых юзеров и прочих нубов начиная с конца 2007 года. Для большинства возникает ВНЕЗАПНО и самостоятельно очень сложно выводится — большинство винлоков имеют довольно хорошую защиту от дурака, да и, собственно, недалёкость реципиента и есть основа прибыли создателей этой подставы.
Как лечить?
все варианты
Итак, %username%, внезапно ты включил комп и точно также внезапно узнал, что оказывается, ты смотришь гей-порнуху и теперь за это должен. Что делать? Знай: удалить винлок можно. Есть даже несколько разных способов на выбор.
Способ нулевой, неожиданный: Некоторые вирусописатели прячут код разблокировки в середине стостраничного пользовательского соглашения, открывающегося по незаметной гиперссылке где-то в окне вируса. Рассчитывать на это, естественно, не стоит, а проверить нужно. В особо веселых случаях после ввода этого кода вирус полностью самоудаляется.
Способ первый, радикальный: самый простой — переустановить Шindoшs и форматнуть винты. Не стоит обращать внимание на уловки вирусописателей, BIOS они не удалят, файлы тоже. Но переустанавливать винду, если, конечно, ты не пользуешься portable-версиями программ — это та ещё еботня. Пользователей поумнее спасет заблаговременно выполненное резервное копирование (WIM, Acronis, Symantec Ghost и прочие), но большинству делать регулярный бэкап системного раздела лень, а хранить его на жестком диске не позволяет жаба. Еще вариант, при создании разделов на новом винте отформатировать небольшой кусок под операционку, а 95% оставшейся памяти - под все данные. В этом случае переустановка винды с форматированием одного маленького диска не будет вызывать никаких серьезных проблем с потерей музычки, кинца, рефератов и любимой порнухи.
Сюда же совершение локального виндекапца и переход на незагаженные ОСи. Берегись синдрома утёнка!
Способ второй, мануальный. Заходим с безопасного режима (если висит и там, то быстро, решительно переходим к другому методу). Находим в реестре (run → regedit.exe) папки автозапуска и удаляем мерзопакость оттуда:
Воспользоваться откатом системы.
HKLM — software — microsoft — windows NT (для ХРюши) — current version — winlogon. Там смотрим значения Shell и Userinit. В Shell должна быть только строка Explorer.exe, в Userinit — "C:\WINDOWS\system32\userinit.exe,".
HKLM — Software — microsoft — windows — run. Там смотрим строку Shell.
Сейчас вирус пользуется обоими путями. В шеле и юзерините будут прописаны пути к файлу вируса, удалите файлы, пропись в реестре к ним и, скорее всего, в комп вы попадёте. Затем подчищайте антивирусом систему.
После зачистки в свойствах безопасности вышеозначенных веток очищаете access-лист, заводите пользователя «Все», ставите галочку «Только на чтение», создаёте себе учётку, запрещаете ей изменять права на данный куст. Всё. С этого момента можно забыть про винлок до конца своих дней и идти дальше разглядывать, как педобир сношает занзибарских младенцев.
Способ второй, мануальный, модифицированный, самый надёжный. Никаких откатов не требуется. Если троян блокирует обычный безопасный режим, то при нажатии клавиши F8 необходимо выбрать безопасный режим с поддержкой командной строки. На данный момент времени большинство винлокеров не способны его заблокировать. После загрузки надо запустить редактор реестра при помощи команды regedit и искать там подозрительные записи. В первую очередь необходимо проверить ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в частности в параметре Shell должно быть написано explorer.exe, а в параметре Userinit — C:\WINDOWS\system32\userinit.exe, (обязательно с запятой). Если там всё в порядке, необходимо проверить этот же путь, но в ветке HKEY_LOCAL_USER. Также желательно проверить ветки, в которых прописаны автозагружаемые программы, например HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В случае обнаружения подозрительных записей, их необходимо заменить на стандартные значения (в случае с автозагрузкой удалить). Также необходимо очистить папки C:\Windows\Temp, C:\Documents and Settings\%Username%\Local Settings\Temporary Internet Files, кеш оперы и мозилы.
Чтобы избежать вышеприведенной еботни с реестром, можно воспользоваться тем же ERD Commander'ом.
Способ третий, по-соседски — чистим систему из другой системы.
Если на одном компе уже установлена не одна ОС (напр. Linux + Windows или Win XP + Win 7), то убираете винлок, зайдя с другой системы.
Вынимаем свой жесткий диск и несем его к доброму другу со свежим антивирусом. Цепляемся к его компьютеру и при помощи антивируса чистим свой хард. Желательно проверить не одним антивирусом. Есть небольшая вероятность посадить заразу на компьютер доброго друга, так что надёжней использовать его компьютер для поддержки при других методах.
Через LiveCD, лучше на основе Windows. Исполняемые файлы вируса ищем обычным поиском по дате создания, записи в реестре трем руками. Все интересующие нас ветки лежат в Windows\System32\config и подгружаются в виде куста в обычный RegEdit из командной строки. Можно использовать и линукс без установки, но при этом придется (если повезет, то недолго) шариться по пользовательским папкам и вручную выгребать авгиевы конюшни кэша браузера и т. п. При относительно прямых руках вся процедура лечения занимает минут 15.
Автоматизированный вариант — идем сюда, качаем образ для домашнего использования AntiWinLockerLiveCD, записываем на болванку, загружаем и радуемся жизни.
По сети. Для исполнения этого метода надо провести предварительную подготовку, а именно создать пользователя с паролем и админскими правами (можно просто нарезать пароль пользователю «Админ»). Ну и заиметь локальную сеть с кем-нибудь. После получения вируса идем к доброму соседу, открываем командную строку и пользуем команды tasklist и taskkill, для начала запустить их с ключом «/?», чтобы лицезреть справку и (при наличии некоторого количества серого вещества) понять, как их запустить на своем больном компе, и выпилить нахрен вирус из списка запущенных процессов. Дальше — антивирус и чистка реестра уже у себя дома.
Четвёртый способ — создать любой документ — в блокноте, Ворде, пэйнте, да чём угодно; внести в него пару изменений а затем — нажать на компе или клавиатуре кнопку Power. Начнётся выключение компа, часть процессов завершится — в том числе и Винлок, однако, созданный нами документ не закроется, а выдаст окно: «сохранить изменения? — да, нет, отмена». Жмём отмена, что заодно означает отмену выключения компа. Итог: винлок завершён, комп работает. Можно спокойно править системные файлы. Увы, в последних версиях вируса способ может не сработать.
Пятый способ — записываем на бyмажку, чего возжелало неумолимое поделие (какую и куда отправлять смс, на какой номер положить деньги etc), бежим к ближайшему здоровому ПК с интернетом, заходим на страничку поиска кодов разблокировки от Dr. Web или от Касперского. Читаем, вставляем, вводим, ищем картинку со «своим» винлоком, получаем с сайта код разблокировки. Радостно бежим домой. Вводим. Облегчённо вздыхаем. Если получилось не облегчённо, а обречённо, значит, вы гордый первооткрыватель нового штамма сифилиса, а, скорее всего, разблокировка кодом вообще не предусмотрена, чистый развод.
Способ шестой, телефонно-матершинный:
Звоним оператору сотовой связи и при помощи длительной эмоциональной и щедро сдобренной матом речи выясняем, какому провайдеру принадлежит короткий номер, на который просят отправить СМС.
Пишем этому самому провайдеру гневное послание — мол, ваши действия квалифицируются как сговор с мошенниками, содействие вредителям и т. д., — блокировка компьютеров нашего предприятия нанесла нам материальный ущерб, и мы намерены обращаться в полицию, прокуратуру и суд по месту регистрации фирмы-провайдера.
Через час получаем звонок от милой барышни из провайдера с извинениями и продиктованным кодом разблокировки
Делаем некоторые выводы об «отсутствии» каких-либо связей между мошенниками и провайдером.
После разблокировки все же вычищаем говно при помощи калёного антивируса.
Седьмой способ — ребут, и по загрузке системы СРАЗУ ЖЕ открываем «Диспетчер задач». Можно заранее установить альтернативный диспетчер задач Process Explorer, который чаще всего неизвестен винлокерам. Поскольку винлок грузится не моментально, то будет 2-3 секунды на то, чтобы пробежать список запущенных приложений и найти подозрительный процесс (что-нибудь вроде Win.exe, запущенный не под SYSTEM, а под %USERNAME%). Затем винлок наконец включается и блокирует диспетчер задач. Снова ребут, снова сразу же открываем диспетчер задач, и держим один палец на клавише с первой буквой названия процесса, второй — на Del, третий на Enter. Непрерывно долбим кнопку с первой буквой названия процесса, чтобы как только винлок начинает грузиться, строка с названием его процесса стала активной. Дальше быстро жмем Del и Enter, убивая процесс не дожидаясь его полной загрузки. Если не получилось, а с первой попытки скорее всего и не получится, ребут и снова повторяем те же манипуляции. Можно просто зажать клавишу Shift при загрузке Винды — все процессы пользователя в автозапуске по ветке Run не запустятся! Чем больше процессов стартует при запуске системы, тем легче успеть выпилить винлок. Если в компе стоит несколько плашек оперативы, то можно облегчить себе задачу, оставив только самую малоемкую плашку и вытащив все остальные. После отключения винлока переключаемся в диспетчере задач на вкладку «Приложения», жмем «Новая задача» и вбиваем explorer.exe. Дальше ручками сносим винлок из автозагрузки (какие ключи проверять уже написано выше), палим его местонахождение и удаляем, после чего для пущего спокойствия сканируем ПК антивирусом.
Восьмой способ — для тех локеров, которые прописывают себя в MBR. Нужен загрузочный диск той самой винды — грузимся с него, заходим в консоль восстановления и пишем команду fixmbr, нажимаем Y, нажимаем Enter. Всё, перезагружаемся, радуемся. Если у Вас Vista и старше - нужна утилита bootsect.exe(входит в WAIK) - грузимся с загрузочного диска и вводим в командную строку:
bootsect /nt60 c: - восстанавливаем загрузчик Vista и выше. bootsect /nt52 c: - восстанавливаем загрузчик XP.
Девятый способ — купить болванку и записать rescue disc от Кашпировского или доктора Паука, вставить и проверить ПК. К некоторым иногда можно применить отключение питания компьютера, но новых этим не обманешь.
Десятый способ — попробуйте нажать Ctrl+Alt+Del. Часть локеров его не блокирует. Если удалось, попробуйте сменить пользователя — при перезапуске винлок самоубивается. Так, розовый порнобаннер с изображениями ТП/ГК запросто выпиливается этой клавиатурной комбинацией. Поступаем следующим образом: как только вы увидели эту розовую поделку, нажмите Ctrl+Alt+Del. Среди приложений вы его не увидите. Перейдите на вкладку "Процессы". Винлоко-писатели, скорей всего, не конченные долбоёбы, чтобы назвать своё творение а-ля WinLocker.EXE, поэтому искать процесс этой лабуды не следует. Найдите процесс Explorer.exe и завершите его. На предупреждение венды о том, что завершение какого-то процесса вызовет ёбаный пиздец, ответьте положительно (нажмите ДА), после чего, не закрывая диспетчер задач, идём по такому пути: файл -> Новая задача (выполнить...). Вводим слово "Explorer", жмём Enter. Теперь компьютер свободен от баннера. Далее следует выполнить откат к более раннему состоянию системы. Ну, и не помешает, кончено же, прочистить свой ПК антивирусным ПО. Основано на личном опыте анонимуса.
источник
http://lurkmore.to/Винлок#.D0.9A.D0.B0.D0.BA_.D0.BB.D0.B5.D1.87.D0.B8.D1.82.D1.8C.3F