Трояни-винлокеры — це різновид шкідливого ПО, яке шляхом блокування доступу до робочого столу вимагає у вас гроші — нібито якщо той переведе на рахунок зловмисника необхідну суму, отримає код розблокування.
Якщо включивши одного разу ПК ви бачите замість робочого столу:
або:
Або ще щось в тому ж дусі — з загрозливими написами, а іноді з непристойними картинками, не поспішайте звинувачувати своїх близьких у всіх гріхах.
Вони, а може бути і ви самі стали жертвою здирника trojan.winlock.
Як блокувальники-вимагачі потрапляють на комп’ютер?
Найчастіше блокувальники потрапляють на комп’ютер наступними шляхами:
- через зламані програми, а також інструменти для злому платного софта (кряки, кейгены та інше);
- завантажуються по посиланнях з повідомлень в інтернеті.мережах, надісланим нібито знайомими, а насправді — зловмисниками зі зламаних сторінок;
- викачуються з фішингових веб-ресурсів, що імітують добре відомі сайти, а насправді створених спеціально для розповсюдження вірусів;
- приходять по e-mail у вигляді вкладень, супроводжуючих листи інтригуючого змісту: «на вас подали в суд…», «вас сфотографували на місці злочину», «ви виграли мільйон» тощо.
Такими ж способами поширюється інший вид здирників — блокувальники браузерів. Наприклад, такий:
або такий:
Вони вимагають гроші за доступ до перегляду веб-сторінок через браузер.
Як видалити банер «Windows заблокований» і йому подібні?
Блокування робочого столу, коли вірусний банер перешкоджає запуску будь-яких програм на комп’ютері, можна зробити наступне:
- зайти в безпечний режим з підтримкою командного рядка, запустити редактор реєстру і видалити ключі автозапуску банера.
- завантажитися з Live CD («живого» диска), наприклад, ERD commander, і видалити банер з комп’ютера як через реєстр (ключі автозапуску), так і через провідник (файли).
- просканувати комп’ютер із завантажувального диска з антивірусом, наприклад Dr.Web LiveDisk або Kaspersky Rescue Disk 10.
Спосіб 1. Видалення винлокера з безпечного режиму з підтримкою консолі.
Отже, як видалити банер з комп’ютера через командний рядок?
На машинах з Windows XP і 7 до старту системи потрібно встигнути швидко натиснути клавішу F8 і вибрати з меню зазначений пункт (у Windows 8\8.1 цього меню немає, тому доведеться грузиться з інсталяційного диска і запустити командний рядок звідти).
Замість робочого столу перед вами відкриється консоль. Для запуску редактора реєстру вводимо в неї regedit і тиснемо Enter.
Слідом відкриваємо редактор реєстру, знаходимо в ньому вірусні запису і виправляємо.
Найчастіше банери-вимагачі прописуються в розділах:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon — тут вони змінюють значення параметрів Shell і Userinit Uihost (останній параметр є тільки в Windows XP). Вам необхідно виправити їх на нормальні:
- Shell = Explorer.exe
- Userinit = C:\WINDOWS\system32\userinit.exe, (C: — буква системного розділу. Якщо Windows стоїть на диску D, шлях до Userinit буде починатися з D:)
- Uihost = LogonUI.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows — дивіться параметр AppInit_DLLs. В нормі він може бути відсутніми або мати пусте значення.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run — тут вимагач створює новий параметр із значенням у вигляді шляху до файлу блокувальника. Ім’я параметра може являти собою набір букв, наприклад, dkfjghk. Його потрібно видалити повністю.
Те ж саме в наступних розділах:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Для виправлення ключів реєстру кликніть правою кнопкою по параметру, виберіть «Змінити», введіть нове значення і натисніть OK.
Після цього перезавантажте комп’ютер в нормальному режимі і зробіть сканування антивірусом. Він видалить всі файли вимагача з жорсткого диска.
Спосіб 2. Видалення винлокера з допомогою ERD Commander.
ERD commander містить великий набір інструментів для відновлення Windows, в тому числі при ураженні троянами-блокувальниками.
C допомогою вбудованого в нього редактора реєстру ERDregedit можна виконати ті ж операції, що ми описали вище.
ERD commander буде незамінний, якщо Windows заблокований у всіх режимах. Його копії поширюються нелегально, але їх нескладно знайти в мережі.
Набори ERD commander для всіх версій Windows називають завантажувальними дисками MSDaRT (Microsoft Diagnostic & Recavery Toolset), вони ідуть у форматі ISO, що зручно для запису на DVD або перенесення на флешку.
Завантажившись з такого диска, потрібно вибрати свою версію системи і, зайшовши в меню, натиснути редактор реєстру.
У Windows XP порядок дій трохи інший — тут потрібно відкрити меню Start (Пуск), вибрати Administrative Tools і Registry Editor.
Після правки реєстру знову завантажте Windows — швидше за все, банера «Комп’ютер заблокований» ви не побачите.
Спосіб 3. Видалення блокувальника з допомогою антивірусного «диска порятунку».
Це найбільш легкий, але і самий довгий метод розблокування.
Достатньо записати образ Dr.Web LiveDisk або Kaspersky Rescue Disk DVD, завантажитися з нього, запустити сканування і дочекатися закінчення. Вірус буде убитий.
Видаляти банери з комп’ютера як за допомогою диска Dr.Web, так і Касперського однаково ефективно.
Як захистити свій комп’ютер від блокувальників?
- Встановіть надійний антивірус і тримайте його постійно активним.
- Всі файли, завантажені з Інтернету перед запуском перевірки на безпеку.
- Не клікайте по невідомим посиланням.
- Не відкривайте поштові вкладення, особливо прийшли в листах з інтригуючою текстом. Навіть від ваших знайомих.
- Стежте, які сайти відвідують ваші діти. Користуйтеся засобами батьківського контролю.
- По можливості не використовуйте піратський софт — дуже багато платні програми можна замінити безпечними безкоштовними.
Як видалити банер здирник
Як видалити банер з комп’ютера самостійно?