Избавляемся от вирусов-вымогателей

Напишите на в ВК, мы поможем бесплатно!
Отзывы о сервисном центре BezPK в ВК

06.09.2013

Избавляемся от вирусов-вымогателей

 

Вот уже многие годы удачливые интернет-мошенники выманивают деньги у доверчивых пользователей при помощи хитрых вирусов-троянов семейства Winlock. В настоящее время такие вирусы не только не утратили своей актуальности, но и серьезно эволюционировали, что делает борьбу с ними все более проблематичной. Начинается все довольно необычно: ничего не подозревающий пользователь работает себе за компьютером, ходит туда-сюда по сайтам в интернете, в вдруг раз – и все, операционная система заблокирована. Как правило, при этом на экране компьютера возникает большущий текстовый баннер, в котором вас обвиняют в просмотре гей-порнографии/насилия над животными/скачивании нелицензионных советских мультиков ну и все в таком духе. Самое обидное, что убрать сию срамоту не получается ни стандартной комбинацией клавиш Alt+F4 ни Ctrl+Alt+Del. Не помогает даже спасительная перезагрузка компьютера, ведь вирус грузится вместе с операционной системой и сразу же блокирует ее. Но выход из ситуации все же есть, поэтому если вы столкнулись с таким вымогателем, не спешите проводить переустановку Windows, а сначала попробуйте избавиться от вируса более гуманными методами, описанными в данной статье.

Идем легким путем

Если у вас под рукой имеется другой компьютер, то первое, что стоит попробовать – это зайти в интернет на один из специальных сервисов для разблокировки от вирусов-троянов. Так и пишем в поисковике: «сервис разблокировки Windows». Обычно одним из первых выбивает сайт dr.WEB, или лаборатории Касперского. Переходим по ссылке и ищем окошко, куда нужно вводить номер кошелька или телефона, указанного в баннере. Вводим свой номер и нажимаем «искать коды».

После проверки сервис должен выдать код для разблокировки баннера. Копируем его и вводим в соответствующее окно на баннере. Если все прошло удачно, и баннер с требованием денег благополучно исчез, не спешим проводить перезагрузку компьютера, а лучше сначала скачаем бесплатную утилиту Dr.Web Curelt, с помощью которой можно проверить жесткий диск и окончательно избавиться от следов вируса.

Возимся с реестром

В случае, если вышеуказанный метод не возымел должного действия или если под рукой нет работающего компьютера можно попробовать удалить вирус-блокировщик вручную из системного реестра. Для этого перезагружаем компьютер и в момент начала загрузки несколько раз (для надежности) нажимаем клавишу F8 (выбор способа загрузки). Выбираем пункт «Безопасный режим с поддержкой командной строки».

В появившейся консоли пишем «regedit» и нажимаем Enter. Появится окошко редактора реестра. Переходим по ветке HREY_LOCAL_MACHINE>Softawre>Microsoft>Windows NT>Current Version>Winlogon. Щелкаем мышкой по Winlogon и ищем в правом окне пункты Shell и Userinit, поскольку программа-вредитель чаще всего прописывается именно там.

В параметре Shell вирус прописывается вместо Explorer.exe, а в параметре Userinit – после запятой. Копируем полное имя вражеской программы из первой записи в буфер обмена, возвращаемся к командной строке, пишем del, после пробела вставляем название вируса и жмем на Enter. Все, одним трояном меньше, повторяем процедуру для другого. Затем снова идем в системный реестр, заходим в Правка>Найти и выполняем поиск по имени вируса-троянца. Все найденное удаляем вышеописанным способом. После выполняем перезагрузку и проверяем компьютер тем же Dr.Web Curelt или любым другим антивирусом.

Начинаем с чистого листа

Если манипуляции с системным реестром не помогают, имеет смысл выполнить проверку на вирусы из под чистой системы. Для этого нужно иметь под рукой флешку или диск с образом от Kaspersky Rescue Disc или Dr. Web Live CD. Перезагружаемся, заходим в Биос (F2 или Del), ищем настройки загрузки Boot options, и в настройках выбираем первым устройством для загрузки оптический привод или USB-накопитель.

Если у вас стоит более современная версия Bios, попробуйте во время загрузки нажать F11/F12 или сочетание клавиш (смотрите инструкцию к материнской плате), это позволяет выбрать загрузочное устройство не заходя в настройки Биоса. Если вы все сделали правильно, то после перезагрузки компьютера должен запуститься Kaspersky Rescue Disc или Dr. Web Live CD. Данные программы имеют интуитивно понятный русскоязычный интерфейс и разобраться в них совсем нетрудно. С помощью их можно не только выполнить проверку на вирусы, но и зайти в системный реестр (данная функция пригодится на тот случай, если у вас не удалось перезагрузиться в безопасном режиме). Если возникают какие либо проблемы с вышеназванными программами, переходим на русский сайт разработчика и ищем пошаговую инструкцию. Например, инструкцию для Dr.Web Live CD можно найти по адресу: «freedrweb.com/livecd/how_it_works».

Лечим загрузочную запись

Некоторые особо противные вирусы-блокировщики не видны ни в автозапуске ни в системном реестре, поскольку они прописываются в исходном коде загрузочной записи MBR. В таком случае можно попробовать исправить файл MBR с помощью стандартной функции восстановления Windows. Для этого берем установочный диск с Windows, загружаемся с него, нажимаем кнопку R для вызова консоли восстановления и пишем в ней команду: «Bootrec.exe/FixMbr» для Windows 7 и просто «fixmbr» для Windows XP. Нажимаем Enter, после чего система перезагружается. Если все прошло нормально, выполняем проверку компьютера на вирусы.

И напоследок

Избавиться от вируса-вымогателя возможно, но лучше всего с самого начала принять меры профилактики, чтобы не пустить заразу в свой компьютер. Предосторожностей не так уж и много: избегайте сомнительных сайтов, не открывайте подозрительные exe-файлы и архивы, по возможности отключите автозапуск с дисков и флеш-накопителей. А если храните на компьютере ценную информацию или просто хотите быть уверены, что сможете в любой момент вылечить систему, пользуйтесь утилитами для резервного копирования, такими, например как Comodo Backup или Acronis True Image.


Остались вопросы? - Мы БЕСПЛАТНО ответим на них в ВК.