Блокировка Windows мошенниками или вирус Winlock. Решение проблемы

Вот и до меня добрался этот с виду страшный вирус, который изрядно подпортил мне нервы. Неожиданно во время работы в Windows XP выскочило окно ( Баннер ) с требованием положить через терминал 500 рублей на телефоны 79171605617 или 79879232794, при этом ниже была угроза если в течении 12 часов не будет произведена оплата, ваш компьютер будет заблокирован , и вся информация отправлена в Отдел К РФ. Такой наглости я не видел ещё нигде, даже и не слышал, но этот так лирическое отступление.

И так клавиши ctrl+al+delete естественно не работают, закрыть эту гадость никак не получится, даже не пытайтесь. Залипание клавиши shift так же не даст никаких результатов, так как вы не сможете открыть ни одного окна, а если откроется, то вам сильно повезло, в моём случае данный метод не помог.

Синий экран смерти в безопасном режиме

Пришло время действовать, и первым делом я попробовал запустить Windows XP в безопасном режиме, на что получил ответ в виде синего экрана смерти, и рекомендацией выполнить проверку жёсткого диска с помощью chkdsk /f. Проверку диска выполнил с помощью загрузочного диска Hiren's BootCd, и, конечно же это не помогло избавиться от синего экрана смерти.

Mini Windows XP решает много проблем

Что делать дальше? Блага на загрузочном диске удалось найти Mini Windows XP(Рисунок 1), который загружается даже без установленной операционной системы, и позволяет выйти в Интернет, чтобы скачать антивирусные утилиты и проверить диск. Как создать загрузочный диск Hiren's BootCd читайте вот тут, но перед этим не забудьте скачать сам образ на моём сайте softokno.ru.

Удаление временных файлов как первый способ избавления от Winlock вируса.

Нам необходимо удалить временные файлы Интернет браузеров, а так же временные файлы в папке temp пользователя admin или вашего пользователя. В вашем случае пользователь может быть Александр, Алексей, или любой другой. Зачем удалять эти файлы? Дело в том, что вирусы, трояны, и другая гадость, любят размещаться именно в этих папках. Удалить данные файлы мы сможем либо зайдя в безопасный режим, если есть доступ, либо с помощью загрузочного диска, я уже писал об этом чуть выше.

1. Заходим в папку C:Documents and SettingsВаш логинLocal SettingsTemp и удаляем всё в этой папке.

2. Заходим в C:Documents and SettingsadminLocal SettingsApplication Data и удаляем все файлы с расширением *.exe *.scr, кстати, в моём случае вирус лежал именно в этой папке с названием screen.scr.

3. Заходим в папку C:Documents and SettingsadminApplication DataMozilla и удаляем папки кэша(cashe).

4. Удаляем все файлы в папке C:Documents and SettingsadminLocal SettingsTemporary Internet Files а так же папку Temp в C:WindowsTemp.

5. Забыл напонить, что вирусы могут легко разместить себя в папку с файлами "Восстановление системы". Нужно зайти в свойства моего компьютера, и на вкладке "Восстановление системы" поставить галочку "Отключить восстановление системы на всех дисках". После этого можно опять её отключить.

Если вирус не удалось удалить, переходим ко второму пункту.

Скачиваем утилиту от Dr.Web Cureit и проверяем диск на вирусы, что будет очень и очень полезно, но мне данная проверка не помогла, пришлось всё удалять вручную, как в первом пункте. У одного из клиентов Cureit все-таки смог отыскать злостный вирус под названием Trojan.Winlock и удалить его, но на этом приключения не закончились.

Даже после его удаления, Windows не смог загрузиться, но табличка с отправкой смс пропала. Появилась ещё одна чудесная проблема, рабочий стол пустой, и клавиши ctrl+alt+delete не работают, так как вирус изменил ключ реестра, который запрещает открывать Диспетчер задач.

Вирус удалён, но рабочий стол пустой? Как запустить приложение или браузер.

Один из самых простых способов загрузить одну из важных программ во время загрузки Windows, когда заблокирован диспетчер задач это конечно же как всегда воспользоваться загрузочным диском Hiren's BootCD. Затем запустить mini Windows XP, и уже благодаря оболочке Windows, поместить в папку Автозагрузки необходимую программу. В моём случае в Автозагрузку был помещён ярлык программы regedit.exe, которая запустилась после перезагрузки системы.

Папки Автозагрузки находится по адресу C:Documents and SettingsВаш логинГлавное менюПрограммыАвтозагрузка. Именно в эту папку необходимо переместить ярлык или программу regedit.exe.

Как это сделать? Заходим в папку C://Windows и нажимаем правой кнопкой мыши по файлу regedit.exe. В открывшемся меню нажимаем ссылку «Создать ярлык»(Рисунок), и созданный ярлык перемешаем в папку Автозагрузки. Я надеюсь, вы умеете копировать файлы из папки в папку.

Так же в папку Автозагрузки вы можете поместить ярлык браузера Mozilla или Opera, например чтобы скачать необходимые файлы, но обычно это делается в Mini Windows XP, или с другого компьютера на флешку. После перезагрузки системы во время загрузки Windows XP у вас запустится менеджер реестра. Если ярлык правильно перемещён, на экране откроется вот такое окно.

Пустой рабочий стол

Помимо отключённого Диспетчер задач вирус прописал себя в explorer.exe, что просто его не запускало, и рабочий стол святился в полной пустоте. Чтобы решить эту задачу, необходимо найти ветку реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon , ищем справой стороны параметр shell и назначаем значение "C:WINDOWSexplorer.exe", в моём же случае в данном параметре был указан путь до вируса.

Не работает диспетчер задач

Чтобы задействовать, Диспетчер задач, найдите ветку HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciessystem и ключу DisableTaskMgr необходимо выставить значение 0.

Не запускаются exe приложения

Помимо всей этой ерунды, которую мне пришлось устранять, вирус изменил в реестре специальный ключ, что привело к проблеме запуска всех exe файлов, что собственно не давало запустить regedit.exe Для устранения проблемы скачайте файл ниже с названием "Устраняем проблемы с запуском exe файлов".

Вирус прописался в Userinit.exe

Скачайте архив с сайта, и замените Userinit.exe на тот, что в архиве. Файл расположен в папке C://WINDOWS/system32
Находим ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon и ищем параметр userinit.exe, который изменяем на C:WINDOWSsystem32userinit.exe

Вызов диалогового окна с помощью залипания клавиши shift.

Если всё же залипание клавиши у вас работает, то можно запустить regedit. Для этого нажимайте клаивишу SHIFT  до тех пор пока на экране не выскочит окошко(как на рисунке 1), затем нажимаем сочетание клавиш Win+U, в результате чего у нас откроется окно с лупой.

Далее нажмите кнопку "Запустить", и откройте ссылку "Веб-узел Майкрософт". У вас запустится браузер по умолчанию Mozilla,Opera или Internet Explorer. Чтобы открыть диалоговое окно, зайдите в меню Файл->Открыть, и уже на жёстком диске найти файл C:WINDOWSregedit.exe, который нужно запустить при помощи правой кнопкой мыши.

На этом разблокировка Windows XP закончена. Если ничего не забыли сделать, windows должен загружаться без проблем.

Ещё раз в быстром темпе.

1.Загружаем Mini Windows Xp. Не забудьте выставить в БИОСе приоритет на загрузку с CD.
2.Проверяем систему на вирусы с помощью Cureit и удаляем вирусы
3.Помещаем в автозагрузку иконку программы regedit.exe
4.Перезагружаемся, вытащив загрузочный диск.
5.В открывшейся программе regedit ищем ветку hkcusoftwaremicrosoftwindowscurrentversionpoliciessystem, затем ключу DisableTaskMgr выставляем значение 0.
6. Ищем ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon , и выставляем ключу SHELL значение C:WINDOWSexplorer.exe , чтобы запустить рабочий стол.
7.Ещё раз проверяем систему на вирусы, и не забываем обновлять вирусные базы, например у Nod32 или Аваст 2013 бесплатной версии.

Везде пишут, что нужно скачать Live CD от Доктора Веба, делать это не нужно, так как программа платная, и ничего сделать с её помощью невозможно. Используйте только Hirens’ BootCD и будем вам счастье.