Если запустив однажды неизвестную программу, ваш компьютер перестает реагировать на команды, а рабочий стол принимает характерный вид:

значит, вы стали очередной жертвой Trojan.WinLock или попросту – трояна-вымогателя, вынуждающего вас заплатить злоумышленнику определенную денежную сумму за возможность пользоваться своим ПК. Ситуация нередкая, хотя пик эпидемии блокировщиков Windows уже прошел. За время существования этого способа вымогательства накоплен немалый опыт выявления и “лечения” заражений такого рода, но, тем не менее, методы блокировки Виндовс злоумышленники совершенствуют до сих пор.

Надо сказать, что несмотря на угрозы уничтожения данных на ПК в случае неуплаты “штрафа”, ничего подобного никогда не происходит. И при умелом подходе любую блокировку можно довольно быстро снять, не прибегая к переустановке системы. Поэтому, увидев на экране грозный баннер “Компьютер заблокирован”, не спешите переводить кибер преступнику деньги – никакого кода для разблокировки вы не получите.

Чтобы вы не чувствовали себя беспомощными в подобной ситуации, мы подготовили для вас описание методов работы троянов-вымогателей и несколько способов борьбы с ними.

Виды блокировки системы

Перечислим методы, с помощью которых обычно осуществляется блокировка компьютера под управлением Windows XP.

• Модификация главной загрузочной записи (MBR), которая, если вы помните, занимает первый сектор жесткого диска. При этом загрузочный код перезаписывается или перемещается в другое место, а вместо него, практически сразу после включения ПК, управление получает вредоносная программа. Эта разновидность вымогателей получила название Trojan.MBRlock.
• Блокировка рабочего стола путем модификации системного реестра, а точнее, его областей, ответственных за запуск Windows и автоматический старт приложений. При этом либо вместо системных файлов, либо вместе с ними запускается троянская программа.
• Перезапись (патчинг) файлов, критически важных для загрузки Windows. При таком методе блокировки нет даже необходимости модифицировать реестр, ведь вредоносный код, записанный в системные файлы, получит управление в любом случае, а обнаружить блокировщик будет гораздо сложнее. Обычно “под раздачу” попадают Userinit.exe, Explorer.exe, LogonUI.exe, Taskmgr.exe, а иногда и некоторые другие.
• Существует и такой способ блокировки Windows, как запрет на запуск любой программы и выполнение любых действий на компьютере, кроме прочтения сообщения с требованиями вымогателя. Сообщение при этом можно свободно закрыть, но работать на ПК все равно нельзя – попытки что-либо делать будут “запрещены администратором”. Виндовс оказывается заблокирован через групповые политики. По таком принципу работает вымогатель Trojan-Ransom.Win32.Krotten (по классификации Лаборатории Касперского).

Кроме перечисленных “чистых” видов блокировки, встречаются и более изощренные, сочетающие в себе сразу несколько способов автозапуска троянского кода. Например, изменения в реестре и патчинг системных файлов, а также – размещение на жестком диске нескольких копий трояна, способных восстанавливать друг друга.

Излюбленными местами расположения троянских файлов в Windows XP являются эти директории:

C:\Documents and Settings\Текущий пользователь\Local Settings\Application Data
C:\Documents and Settings\All Users\Local Settings\Application Data
C:\Documents and Settings\Текущий пользователь\Local Settings\Temporary Internet Files
C:\Documents and Settings\All Users\Local Settings\Temporary Internet Files
C:\Documents and Settings\Текущий пользователь\Local Settings\Temp
C:\Documents and Settings\All Users\Local Settings\Temp
C:\Windows
C:\Windows\Temp
C:\Windows\System32
C:\Documents and Settings\Текущий пользователь\Главное меню\Программы\Автозагрузка
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка

А автозапуск обычно осуществляется с помощью записей в следующие разделы реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметры: Userinit, UIHost, Shell.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Параметр Debugger
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Параметр AppInit_DLLs

Что делать если Windows XP заблокирован?

Большинство блокировщиков работают не только в нормальном режиме, но и в безопасном, а в некоторых случаях они просто отключают возможность загрузки безопасного режима, удалив ответственные за это разделы реестра. Поэтому, если у вас заблокировался Windows XP, решать проблему придется с помощью альтернативных загрузочных носителей – так называемых “живых” дисков (Live CD) с собственной операционной системой. Загрузив компьютер с такого носителя, вы сможете получить доступ к жесткому диску, который оказался заблокирован. Далее мы разберем, как работать с Live CD, а пока испытаем более простые способы, которые хоть и не всегда, но во многих случаях выручают.

Самый простой метод снятия блокировки компьютера

Этот способ был обнаружен пользователями экспериментальным путем. В случаях сложной блокировки он вряд ли поможет, но попробовать все равно стоит, тем более, что все действия займут у вас не более 5 минут.

• Увидев на экране баннер “Windows заблокирован”, перезагрузите компьютер и перед стартом системы зайдите в настройки BIOS Setup. На первой же вкладке “Main” (в Avard BIOS – пункт меню “Standart CMOS Feature”) переведите системную дату на 2 – 3 года вперед или назад. Для выхода с сохранением настроек нажмите F10 и “Y”.

• Загрузите Виндовс, если баннера на рабочем столе нет, скачайте бесплатную антивирусную утилиту, например, Kaspersky Virus Removal Tool или Dr.Web CureIt! и проведите сканирование. Зачем скачивать эти программы, если антивирус у вас уже есть? Затем, что из-за смены даты, он, вероятнее всего, не работает.
• После удаления трояна еще раз зайдите в настройки BIOS и верните прежнюю дату. Всё.

Онлайн-сервисы антивирусных компаний для разблокирования Виндовс

Если предыдущие действия не помогли вам справиться с баннером “Компьютер заблокирован”, можно попробовать подобрать код разблокировки с помощью онлайн-сервисов антивирусных компаний. Этот вариант помогает в 50 – 70% случаев, но он будет вам полезен только тогда, когда у вас есть другой ПК (телефон, планшет и т. п.) с выходом в Интернет. Ниже приводятся ссылки и инструкции по использованию этих сервисов.

Сервис деактивации Trojan.WinLosk “Лаборатории Касперского”

• Перепишите текст сообщения вымогателя, которое вы видите на экране, и вставьте его в соответствующее поле.
• В соседнее поле впишите номер телефона, указанный в сообщении, на который с вас требуют перевести деньги.
• Нажмите кнопку “Получить код разблокировки” и попытайтесь с его помощью удалить баннер.
• После входа в Windows проведите антивирусное сканирование ПК, поскольку файл трояна-блокировщика по-прежнему находится в системе и может заблокировать ее повторно.

• Впишите номер телефона или кошелька вымогателя в соответствующее поле и нажмите кнопку “Искать коды”.
• Если ничего предложено не будет, можете попробовать найти подходящий код по внешнему виду баннера.
• После разблокировки просканируйте компьютер на вирусы.

• Впишите в соответствующие поля текст сообщения с баннера “Виндовс заблокирован” и номер указанного там телефона.
• Нажмите кнопку “Отправить” и попробуйте воспользоваться предложенными кодами.
• После того, как ваш компьютер разблокируется, просканируйте его на вирусы.

Средства автоматической разблокировки ПК

Если предыдущие меры не возымели никакого действия и ваш ПК по-прежнему заблокирован, удалить баннер можно с помощью специализированных программ на загрузочных дисках (Live CD). Ниже приведены инструменты, позволяющие автоматически снять блокировку Windows XP и ликвидировать троянскую программу.

AntiSMS

Полностью автоматическая утилита, излечивающая все известные модификации троянов-вымогателей и восстанавливающая стандартные настройки загрузки системы. Рекомендуется для начинающих пользователей, неискушенных в администрировании ПК. Всю работу программа выполняет скрыто, а запускается двойным кликом по ярлыку на рабочем столе загрузочного носителя.

Еще один загрузочный диск, способный помочь, если ваш Windows XP вдруг заблокировался. Утилита в автоматическом режиме найдет и удалит троянскую программу, а также восстановит поврежденные файлы и системный реестр. На коммерческой основе AntiWinLocker можно использовать и для защиты Виндовс от блокировщиков, установив на компьютер.

Для удаления баннера с помощью этой программы потребуется минимум действий:

• загрузитесь с AntiWinLockerLiveCD, примите лицензионное соглашение и нажмите кнопку “Старт”;

• выберите из меню пункт “Автоматический запуск”;

• согласитесь на предложение замены файлов (если будет), отметив их в списке и нажав “Выполнить”;

• после завершения работы программы запустите компьютер с жесткого диска – блокировка будет снята.

Еще один универсальный инструмент, способный помочь не только в случаях, когда компьютер заблокирован, но и при любых вирусных заражениях. Оснащен функцией обновления вирусных баз через Интернет.

Для использования достаточно запустить с рабочего стола сканер, выбрать области сканирования и нажать “Начать проверку”.

Не менее простой в использовании инструмент, чем предыдущие. Также позволяет с легкостью решать различные вирусные проблемы на ПК, в том числе и тогда, когда вход в Windows XP оказался заблокирован. Обладает возможностью “интеллектуального сканирования”, полезного для поиска неизвестных вредоносных объектов.

Ручное снятие блокировки Windows XP при загрузке с Live CD

Теперь рассмотрим ручные способы удаления вредоносного кода, мешающего загрузке Windows XP. Для того, чтобы их использовать, необходимо быть по меньшей мере опытным пользователем ПК, иначе проблем после попыток удаления баннера может быть больше, чем было изначально. Для первого способа лечения компьютера с помощью профессиональной утилиты Universal Virus Sniffer (uVS) нам понадобится любой загрузочный диск на базе OS Windows. Мы воспользуемся Alkid Live CD.

Alkid Live CD и uVS

Этот способ, можно сказать, наиболее трудоемок, поскольку все операции придется выполнять вручную. Однако в экстремальных ситуациях, когда родной Windows XP заблокировался, выбирать не приходится, и мы будем использовать то, что есть под рукой. Итак, приступим.

• Скачайте на другом компьютере и распакуйте на флешку программу uVS (если нет другого ПК, это можно сделать и на Alkid Live CD после настройки подключения к Интернету).
• Подключите флешку к заблокированному компьютеру.
• Загрузите Alkid Live CD.
• Запустите файл start.exe из каталога uVS (который в нашем случае находится по адресу F:uvs).
• в окне “Режим запуска” нажмите кнопку “Выбрать каталог Windows” и перейдите в проводнике к папке Windows вашей заблокированной системы. Кликните “ОК”.
• Кликните “Запустить под текущим пользователем”.

• После сканирования перед вами откроется список подозрительных файлов, и вот он на видном месте – наш троян-вымогатель.

• Чтобы изучить подробные сведенья об этом файле, кликните по нему дважды – откроется окно, где кроме прочего будет указан способ его автозапуска. В нашем случае это ключ реестра, запускающий проводник Windows (explorer.exe).

• Теперь переходим к удалению трояна и восстановлению нормального запуска Windows. Закройте окно свойств и кликните по файлу правой кнопкой мыши. Выберите в контекстном меню команду “Удалить все ссылки вместе с файлом”.

• Следом, чтобы восстановить измененный ключ реестра, из верхнего меню “Дополнительно” выберите команду “Твики”.

• Нажмите “Сброс ключей Winlogon в начальное состояние”.

• Закройте программу и загрузите компьютер с жесткого диска. Баннера вы больше не увидите.

Важно! Если в список подозрительных попал системный файл, особенно Userinit.exe, LogonUI.exe, Explorer.exe или Taskmgr.exe, вероятно, он изменен и содержит код блокировщика. Такие файлы нужно заменять на их чистые копии, которые хранятся в папке C:WindowsSystem32dllcache.

ERD Commander 5.0

Если у вас под рукой оказался этот замечательный инструмент восстановления Windows XP, избавиться от баннера “Компьютер заблокирован” можно гораздо проще, например, воспользовавшись функцией восстановления системы. Чтобы получить к ней доступ, загрузите ПК с диска ERD Commander версии 5.0 и переходите к следующим действиям.

• Нажмите кнопку “Start” (аналог пуска), выберите из меню пункт “System Tools”, а следом – “System Restore”.

• Запустится знакомая программа восстановления системы. Выберите подходящую контрольную точку и кликните “Далее”. После процедуры отката загрузитесь с жесткого диска. Баннер “Windows заблокирован” больше не будет вам досаждать.

Удаление вредоносного кода из MBR

Если сразу после включения ПК, еще до начала загрузки Windows XP, вашему взору открылась такая картина:

значит, вы пострадали от трояна-вымогателя, прописавшегося в MBR. Удалить оттуда вредоносный код может не каждое из перечисленных здесь средств – для этого необходимы полноценные антивирусные продукты, которые мы назовем ниже. А сейчас уделим пару минут тому, чего в этом случае делать не стоит.

Верный способ сделать Windows XP незагружаемой

Многие пользователи знают назначение консольной команды fixmbr – она предназначена для перезаписи первого сектора жесткого диска. И, по-хорошему, должна восстанавливать загрузочный код, одновременно удаляя сидящего там трояна. Но не тут-то было. В процессе перезаписи нестандартной MBR (а в случае заражения трояном она и будет нестандартной) часто повреждается таблица разделов, которая находится на жестком диске сразу же после загрузочного кода MBR и является ее частью.

Если мы проигнорируем предупреждение консоли восстановления и выполним fixmbr, вместо сообщения о том, что компьютер заблокирован, увидим следующее:

что означает повреждение таблицы разделов. А значит, больше загрузить систему мы не сможем.

Лечение MBR с помощью антивирусных утилит

Для корректного и безопасного восстановления главной загрузочной записи можно использовать:

• AntiSMS;
• Kaspersky Rescue Disk;
• Dr.Web Live CD;
• LiveCD ESET NOD32.

Этих инструментов более чем достаточно, чтобы снять любую блокировку Windows XP, в том числе и такую.

Как избежать блокировки Виндовс?

Вряд ли кто поспорит, что предотвратить заражение компьютера троянами-вымогателями гораздо легче, чем потом с ними бороться. И чтобы ваш ПК однажды “случайно” не заблокировался, придерживайтесь этих несложных правил:

• установите надежный антивирус и не забывайте своевременно обновлять его базы;
• перед запуском неизвестного файла не поленитесь просканировать его на безопасность;
• не переходите по неизвестным ссылкам, присланным вам по почте и через мессенджеры, даже от ваших занкомых;
• своевременно устанавливайте обновления Windows XP – это закрывает многие лазейки, через которые в систему проникают вредоносные программы. И тогда, надеемся, вам больше никогда не придется лицезреть сообщения “Windows заблокирован”, по крайней мере, на вашем собственном компьютере.

В настоящее время существует огромное количество разнообразных компьютерных вирусов, которые способны испортить жизнь любому пользователю windows 7 — 10. Если у вас возникла такая ситуация, что вирус заблокировал операционную систему и компьютер не запускается, — не впадайте в панику, возможно, проблему можно решить.

Существует тип вирусов, который блокирует определенный сайт или всю систему и запрашивает у вас деньги для разблокировки. Если после запуска компьютера вы видите , то на ваш компьютер попал подобный вирус. Проблема даже может не исчезнуть после переустановки ОС.

Что делать в этом случае?

Если ваш ввиду того, что он заражен вирусом, блокирующим систему, вам поможет антивирусная программа, которая выполняет сканирование компьютера до его запуска. На это способны качественные антивирусы, типа Касперского или Доктора Веба. Для того, чтобы разблокировать систему, вам будет нужен доступ в Интернет, флеш-носитель и другой компьютер, рабочий.

Скачайте с официального сайта антивирусной системы программу Dr.Web LiveDisk (ссылка — http://www.freedrweb.com/livedisk/). Далее, вставляем флешку в компьютер и запускаем программу. В появившемся окне нужно указать флеш-носитель, нам необходимо поставить галочку напротив операции форматирования и нажать на создание утилиты внизу.

Подождите некоторое время. После того, как информация будет записана на накопитель, вы увидите окно с уведомлением создания диска аварийного восстановления на вашей флешке.

Далее, выполняем и в BIOS указываем запуск с флешки. Вы увидите окно антивирусной утилиты, в которой вам нужно будет . Затем поставьте галочки в условиях лицензионного соглашения. После этого, когда программа запросит выбор объектов для проверки, ставьте галочки напротив всех дисков и файлов, которые есть. Запустите утилиту.

После проверки программа выведет список вирусов. Выполните операцию обезвреживания, после запроса программы и они будут удалены.

Что делать, когда при включении компьютера пишет Виндовс заблокирована? Сама эта ситуация свидетельствует о том, что компьютер заражен вирусом. При работе в интернете именно вирусы представляют самую серьезную угрозу безопасности, особенно уязвима к ним операционная система Windows. Главными причинами заражения являются отсутствие антивируса или использование программы с устаревшими базами, отсутствие необходимых обновлений системы, посещение сомнительных сайтов, скачивание и запуск непроверенного софта.

Вирусы бывают разными, одними из самых неприятных являются блокировщики. Попав на ПК, такой вирус полностью блокирует его работу. На экране появляется баннер с текстом, в котором владельцу компьютера для разблокировки Windows предлагают перечислить определенную сумму. Курсор двигается только в пределах окна хакерской программы, перезагрузка не помогает. Удалить вирус своими силами не получается, так как не удается добраться до его процесса.

Восстановление нормальной работы Windows

Что делать, если на компьютере написано Windows заблокирована? Запомните внешний вид окна блокировщика и контактные данные вымогателей. Если установлена вторая ОС, загрузитесь с нее и зайдите на сайт лаборатории Касперского или компании Dr.Web. Откройте раздел, посвященный блокировщикам Windows. В списке найдите вариант, соответствующий вашему, или введите его данные в поисковое окно. Вам будет выдан код разблокировки. Его надо ввести в окне вирусной программы, после этого операционная система снова начнет нормально работать.

К сожалению, коды известны далеко не для всех версий программ-вымогателей, поэтому данный вариант может и не сработать. В этом случае можно попробовать скачать с этих же сайтов образ диска, позволяющего удалить вирус с компьютера. Сохраненный на компьютере образ записывается на диск – например, с помощью программы Nero. После этого его надо запустить при включении компьютера, выбрав загрузку с CD. Утилита очистит ПК от вируса, удалит все следы его присутствия.

Понятно, что далеко не каждый пользователь может самостоятельно выполнить все эти достаточно сложные операции. Во многих случаях гораздо проще и эффективнее обратиться за помощью к опытному специалисту. Если у вас возникла описанная выше проблема, звоните нам – вызванный мастер приедет к вам на дом, имея при себе все необходимые утилиты, и быстро восстановит работу вашего ПК. Гарантируем высокое качество работы и низкие цены.

Сегодня мы собираемся представить вам еще один компьютерный вирус - Windows заблокирован. Windows заблокирован, который также известен как Windows Blocked ransomware. Эта угроза не является крипто-вымогателем, и она не шифрует файлы жертвы. Тем не менее, она блокирует их компьютер и просит жертву заплатить, если она хочет получить доступ к компьютеру снова. Блокируя компьютер, она ограничивает юзера от пользования программами или файлами, которые хранятся на компьютере. Она также отображает сообщение на полный экран, в котором говорится, что пользователь компьютера должен заплатить выкуп, чтобы начать использовать компьютером снова.

Вирус Windows заблокирован просит купить пополнение карты стоимостью 400-600 рублей и ввести код преступников в предусмотренном поле. Кибер преступники обещают разблокировать компьютер сразу же после того, как жертва заплатит выкуп. Вирус говорит, что оплата должна быть произведена в течение 10 часов, в противном случае компьютерная система будет повреждена. Тем не менее, даже не начинайте искать ваш кошелек, потому что вполне возможно получить доступ к вашему компьютеру без денег. Все, что вам нужно сделать - это удалить вирус Windows заблокирован с вашей системы.

Рекомендуется удалить этот вирус с помощью программного обеспечение, потому что обнаружить и удалить этот вирус вручную очень трудно. Этот вирус, как правило, называет свои файлы по-разному, так что пользователи не смогут его быстро идентифицировать и удалить. Все что мы знаем, куда вирус записывает свои файлы. Он сохраняет их в папку Загрузки или Temp, но для того, чтобы войти в эти папки, вам нужно перезагрузить компьютер и войти в безопасном режиме. Вы можете найти подробные инструкции о том, как удалить Windows заблокирован на странице 2.

Как вредная программа Windows заблокирован может войти в ваш ПК?

Вирус Windows заблокирован можно загрузить с официального сайта или сайта вредоносных программ. Кибер преступники предпочитают использовать клик атаки и помещать вредные ссылки в мало подозрительный контент, так что если у вас есть хоть малейшее подозрение, что объявление, ссылка или кнопка на которые вы собираетесь нажать, могут привести вас к опасным веб-сайтам, не нажимайте на них. Для того, чтобы защитить свой компьютер от вредоносных программ, вы должны защитить его с помощью антишпионского средства, как .

Вредоносные файлы тоже распространяются по электронной почте. Команда 2-Spyware настоятельно рекомендует пользователям следить за письмами, которые приходят от неизвестных лиц, особенно, если они предлагают открыть вложения. Мошенники также имеют тенденцию посылать навязчивые электронные письма, и если вы хотите заблокировать их, скорее создайте фильтр для электронных сообщений, вместо того чтобы нажимать кнопку “Отменить подписку” в предоставленном сообщении. Преступники, как правило, вводят вредоносные вложения позади этой кнопки.

Если троян Windows заблокирован уже проник в ваш компьютер, пожалуйста следуйте инструкции по удалению Windows заблокирован, которая предоставляется на странице 2 и устраните его с вашего ПК, как можно скорее.

Как удалить вирус Windows заблокирован?

Вы не должны бояться угроз Windows заблокирован, и не спешите платить ему, потому что этот вирус может быть выведен из эксплуатации довольно простым способом. Поскольку этот вирус не шифрует файлы, а только блокирует к ним доступ это не опасно, потому что, удалив этот вирус, вы можете вернуть доступ к файлам обратно. Пожалуйста, используйте инструкцию Windows заблокирован, приведенную ниже, и удалите эту угрозу с вашего компьютера. Для предотвращения компьютерных угроз, которые могут заразить ваш компьютер, мы рекомендуем вам установить мощное средство защиты. По этой причине, мы рекомендуем установить антивирусное средство SpyHunter. Не забывайте регулярно обновлять программное обеспечение, потому что, только таким образом оно будет способно идентифицировать и устранить последнюю версию вредной угрозы.

Это будет большая статья о том как разблокировать Ваш компьютер. В этой статье будет три вариант один из которых Вам точно поможет разблокировать windows.
1 Вариант

Самый просто способ вылечить свой компьютер при заражении его «баннерным вирусом» это проделать следующие шаги по восстановлению системы на рабочее состояние, делать будем так:

1. Перезагружаем компьютер в Безопасном режиме с поддержкой командной строки
2. В командной строке введите команду
3. При запуске окна с восстановлением windows выбираем дату на которую Мы хотим восстановить наш Windows жмем далее и ждем некоторое время пока он перезагрузит компьютер и восстановит его на выбранный вами период (дату восстановления лучше выбирать не больше недели назад от инцидента)
   
4. Но этот метод как самый простой и действенный имеет свои недостатки, так например если у Вас изначально не было включено «Восстановление системы » , то при вводе команды c:\WINDOWS\system32\Restore\rstrui Вы получите ошибку:

Восстановление системы отключено и не может быть запущено в безопасном режиме. Для восстановления системы перезагрузите компьютер в нормальном режиме и запустите восстановление системы.»

Этот способ увы не для Вас Но это не конец света, потому как Мы переходим к Варианту 2

2 Вариант

Сегодня утром принесли ноутбук на котором при загрузке сразу появлялось окно о том что, windows заблокирован. Этот trojan winlock не такой как был раньше т.е. в котором надо было вводить код (его можно было получить на сайтах касперского и drweb). Но не будем вдаваться в теорию, а сразу перейдем к практике, т.е. к удалению этой гадости.

1. изначально мы имеем winlock который заблокировал комп с таким текстом:

Microsoft Security обнаружил нарушение использования сети интернет Причина: Вы смотрели фильм содержащий гей-порно. для разблокировки Windows необходимо: пополнить номер абонента Билайн 8-963-666-94-10 на сумму 400 рублей Оплатить можно через терминал для оплаты сотовой связи После оплаты, на выданном терминальном чеке. Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.

Наши дальнейшие действия такие:

1. перезагрузите компьютер в Безопасном режиме с поддержкой командной строки
2. как компьютер загрузится и увидите командную строку введите regedit и у Вас запускается редактор реестра
3. В реестре ищем пункт HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
4. и в нем ищем строку Shell и проверяем что у нас там была только одна запись Explorer.exe (т.е. все что там есть Explorer.exe удаляем!!!)
5. Далее перегружаем комп и радуемся загруженной винде

какие могут быть проблемы если этот вариант не сработал:

1. Если Вы все сделали как я написал, но ни чего не происходит, то проверьте в этой же ветки реестра пункт Userinit в нем должна быть только одна запись: C:\Windows\system32\userinit.exe, (все что там есть удаляем)
2. Если же опять не сработало, то нужно сравнить файл userinit.exe на зараженном компе с файлом на рабочем компе, бывает так что другая модификация вируса подменяла файл userinit.exe и Explorer.exe . Сверять нужно с компа на котором стоит такая же операционная система (допустим Windows xp SP3 стоит на компе который поймал вирус и сравниваем файлы с рабочего компа на котором стоит тоже Windows xp SP3). Для того что бы у Вас в безопасном режиме с поддержкой командной строки загрузился рабочий стол в консоли(где до этого вводили команду regedit) вводим команду explorer , а далее ищем файлы userinit.exe который находится в директории C:\Windows\System32\ и сверяем файлы по размеру и дате создания.

— если все таки Вы поняли что эти файлы у вас были подменены, то я решал данную проблему так:

1) эти два файла можно было взять из директории C:\Windows\System32\dllcache либо если у Вас есть диск с windows с которого была установлена эта операционная система, то он там находится в папке I386 (под именем userinit.ex_ либо прямо как есть userinit.exe)

2) заменяете файлы и перезагружаете систему.

Очень надеюсь что у Вас все получилось через правку в реестре и Вам не пришлось копаться с заменами файлов, просто бывают разные ситуации и я сразу решил описать все способы.
3 Вариант

Если вы словили смс банер вымогающий денюжку «за просмотр и тиражирование детской порнографии». Этот вид банера кардинально отличается от того который я описывал в Варианте 1, хотя и методы удаления частично похожы

текст баннера такой:

Компьютер заблокирован

Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей на номер телефона Билайн 89037310755 . В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку «Разблокировать». После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течение 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч. 1 УК РФ. Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.

Удаление этого баннера как я писал выше по первому варианту не получилось, ну это и хорошо, потому как этот способ очень легкий и простой.

Лидеры антивирусных продуктов такие как dr.web и Касперский быстро среагировали на данную ситуацию и предоставили пользователям свою помощь в удалении данной модификации баннерного вируса с компьютеров.

4 Вариант

Есть разновидность этой гадости которая после попытки самолечения компьютера запускает второй вирус который перезаписывает загрузочную область диска и после перезагрузки Вы увидите на черном экране след текст:

Which Windows installation would you like to log onto (To cancel, press ENTER) and I type 1 (либо смотри картинку ниже)

Советы по защите от Trojan.Winlock

Как защититься от Trojan.Winlock?!?

Для защиты от данной проблемы, да и от проблем вообще с компом я могу дать много, но самые Важные которые нужно соблюдать для максимальной защиты компьютера это:

1. Лицензионная копия Windows -Желательно что бы операционная система у Вас была установлена на компьютер без разных сторонних твиков и дополнений, лучше использовать диск лицензионной копии на которой кроме windows ни чего нету (т.е. те которые продаются в магазинах).
2. Антивирус — к антивирусам я отношусь очень серьезно и за все года для меня был зарекомендован только один бренд, это Касперский. Да он подтормаживает иногда комп, но он и отрабатывает свои минусы с лихвой!
3. Не скачивать программы с неизвестных сайтов — кряки, активации, аудио книги, игры и прочую фигню люди не заморачиваясь начинают искать просто вбив запрос в яндекс или гугл и кликать на все кнопки где написано «скачать» . Мой совет и я себя уже и своих всех тоже приучил, если что то хотите скачать, то используйте торенты, я использую rutracker или nnm-club там хоть на половину можно быть спокойным что софт там проверенный.

Ну а на последок скажу так, что 90% компьютерных ошибок сидят в 50 см от монитора. Будьте бдительны и осторожны и у Вас ни когда не будет проблем. Всем удачи и пишите Ваши вопросы если не получилось разблокировать windows, будем разбираться вместе.