Как избавиться от троянов и разблокировать Windows

Дата: 27 мая 2013 Рубрика: Советы Комментарии: Комментариев нет
 

Автор текста: Сергей "Остров"

Способы избавиться от SMS-вымогателей и блокировщиков Windows

Трояны семейства Winlock известны, как блокировщик Windows, которые уже достаточно давно вымогают деньги у рядовых пользователей. Сегодня эти вредоносные программы стали более совершенными и доставляют массу проблем. С ними можно бороться самостоятельно, если следовать рекомендациям по предотвращению заражения.

Вирус появляется в системе быстро и незаметно. Пользователь совершает обычные действия, просматривает веб-страницы, не делая ничего особенного. Но в определенный момент возникает полноэкранный баннер, убрать который не удается.


Изображение может быть разным: до +18 либо напротив строгим и грозным. Но результате всегда одинаков: поверх всех окон появляется сообщение с требованием перечислить указанную сумму на тот или иной номер или смс отправить платно. Почти всегда его сопровождают угрозы об уголовном преследовании или уничтожении всех данных, если оплата не будет выполнена.

Очевидно, что платить не надо. Следует узнать, к какому оператору связи относится указанный номер и сообщить о проблеме в службу безопасности. В некоторых случаях вам могут сказать код разблокировки, но сильно надеяться на этом не стоит.

Способы решения проблемы предполагают понимание тех изменений, которые происходят в системе после появления вируса. После этого их нужно найти и отменить.

Для некоторых из них предусмотрен код. В редких случаях они удаляют себя полностью после введения правильных данных. Найти его можно на сайтах антивирусных программ. Попасть в соответствующий раздел сервисов «Доктор Веб» или «Лаборатория Касперского» можно с телефона или другого девайса. После чего следует скачать антивирус и полностью проверить систему.

Прежде чем применять более сложные методы и спец.софт, попробуйте использовать имеющиеся возможности. Откройте Диспетчер задач. Если результат положительный, значит в системе действует примитивный вирь, удалить который не очень сложно. В списке процессов найдите его и принудительно завершите. Обнаружить посторонний процесс просто, он имеет невнятное имя, а описание отсутствует. При сомнениях по очереди выгружайте все подозрительные процессы до тех пор, пока баннер не исчезнет.

Если диспетчер не открывается, попробуйте запустить сторонний менеджер процессов с помощью команды «Выполнить», нажмите {Win}+{R}. Утилиту можно скачать с другой машины или с телефона. По ссылке проверить начинается поиск информации о процессе в базе данных онлайн. Но в большинстве случаев все предельно понятно. Когда баннер закроется, необходимо перезапустить «Проводник» — процесс explorer.exe. В диспетчере задач выберите Файл, затем Новая задача (выполнить), далее c:\Windows\explorer.exe. Когда вредитель на время сеанса деактивирован, нужно найти его файлы и убрать их. Сделать это можно вручную либо с помощью антивиря.

В большинстве случаев «гад» появляется в каталогах временных файлов. Рекомендуется все же выполнить полную проверку, так как копии могут остаться в других папках. Полный список объектов автозапуска позволяет увидеть бесплатная утилита Autoruns.

 

На первом этапе устранить его поможет изменение в поведении отдельных стандартных приложений. Если вы увидели баннер, запустите вслепую Блокнот или WordPad. Нажмите {WIN}+{R}, введите notepad и подтвердите с помощью {ENTER}. Под ним появится новый документ. Наберите в нем любые буквы и отключите комп. Все процессы, в том числе вирусяк, начнут завершаться, но само устройство не отключится. Останется диалоговое окно «Сохранить изменения в файле?». На этом этапе мы баннера уже нет и можно полностью устранить до перезагрузки.

Более совершенные версии вредителей обладают свойством противодействия попыткам устранить их. Они блокирует запуск диспетчера задач, заменяют системные компоненты. В этом случае необходима перезагрузка, в момент загрузки системы жмите клавишу F8. Вы увидите окно выбора способа загрузки. Выберите «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt)». Когда появится консоль, набираем explorer, затем ENTER, после этого запустится проводник. Пишем regedit, подтверждаем, откроется редактор реестра. В нем можно найти записи, созданные вредоносной программой, а также место, откуда начинается его автозапуск. В большинстве случаев пользователь видит полные пути к файлам «заразы» в ключах Shell и Userinit в ветке HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon

В Shell вирь подменяет explorer.exe, а в Userinit указывается после запятой. Из первой обнаруженной записи копируем полное имя зараженного документа. В командной строке набираем Del, пробел и открываем контекстное меню правой кнопкой мыши. Выбираем команду вставить, подтверждаем. Один удален. То же самое проделываем для второго и последующих.

В реестре запускаем поиск по имени зараженного файла, просматриваем все записи и убираем подозрительные. Чистим все временные папки и корзину. После этого рекомендуется выполнить полную проверку антивирусом. Если он повлиял на работу сетевых подключений, попробуйте восстановить настройки Windows Sockets API с помощью утилиты AVZ.

Если заражение серьезное, бороться с ним из-под инфицированной системы нет смысла. Более целесообразно загрузиться с чистой и вылечить основную. Это можно сделать разными способами, самый просто — Kaspersky WindowsUnlocker. Образ можно записать на болванку или создать из него загрузочную флэшку.

Опытные пользователи делают это заблаговременно, другие принимают меры уже во время заражения. Включая зараженный девайс, удерживайте клавишу, чтобы зайти в BIOS. Это может быть DEL или F2. Соответствующее приглашение можно увидеть в нижней части экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. Выберите первым загрузочным устройством. Изменения нужно сохранить с помощью клавиши F10, после этого выйдите из Биос.

Современные версии BIOS дают возможность выбрать загрузочное устройство без входа в основные настройки. Достаточно нажать F12, F11 либо комбинацию клавиш. Более подробную информацию можно получить из сообщения на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки запустится Kaspersky Rescue Disk. Лечение можно выполнять автоматически или вручную.

Отдельная категория — вирусы, которые поражают главную загрузочную запись MBR. Они появляются до загрузки ОС, и их нельзя найти в автозапуске. Чтобы ликвидировать, нужно, прежде всего, восстановить исходный код MBR. Для этого необходимо выполнить загрузку с установочного диска Windows, открыть консоль восстановления с помощью клавиши R. Набираем в ней команду fixmbr, подтверждаем клавишей Y, перезагружаемся. Это касается XP. Для Windows 7 существует утилита BOOTREC.EXE, необходимая команда представлена в виде параметра Bootrec.exe/FixMbr. После этих действий система вновь загружается. Теперь антивирусом можно поискать копии трояна и средств его доставки.

На компьютерах, не отличающихся мощностью, и ноутбуках борьба с затягивается. Это обусловлено тем, что загрузка с внешних устройств затруднено, а проверка выполняется долго. В случае заражения извлеките зараженный винчестер и используйте для лечения другой компьютер. Удобно пользоваться боксами с интерфейсом eSATA или USB 3.0/2.0. Не забудьте при этом отключить автозапуск с HDD, чтобы на распространять заразу. Поможет бесплатная утилита AVZ. Проверку лучше выполнить чем-то другим. В меню Файл выберите «Мастер поиска и устранения проблем», ставим отметку «Системные проблемы», «Все» и кликаем «Пуск». После этого выделите пункт «Разрешён автозапуск с HDD» и нажмите «Исправить отмеченные проблемы».

Также до подключения зараженного винчестера убедитесь, что на машине работает резидентный антивирусный мониторинг с нормальными настройками. Если разделы внешнего HDD не виды, откройте «Управление дисками». Через Пуск нажмите Выполнить, наберите diskmgmt.msc, подтвердите. Все разделы внешнего ЖД обозначаются буквами, их можно добавить вручную. После этого проверьте весь винчестер.

Чтобы не произошло повторного заражения, установите любой антивирь, в котором есть компонент мониторинга в режиме реального времени и соблюдайте общие правила безопасности:

— для работы используйте учетную записи с ограниченными правами,
— пользуйтесь другими браузерами — в основном заражение происходит через Internet Explorer,
— отключайте Java-скрипты на неизвестных сайтах и автозапуск со сменных носителей,
— софт устанавливайте только с официальных сайтов,
— обращайте внимание, куда ведет предлагаемая ссылка,
— убирайте нежелательные всплывающие окна, в этом помогут дополнения для браузера или отдельные программы,
— своевременно устанавливайте обновления системных компонентов,
— выберите для системы отдельный дисковый раздел, пользовательские файл отправьте на другой.

Последнее правило позволяет делать небольшие образы системного раздела с помощью программ Symantec Ghost, Acronis True Image, Paragon Backup and Recovery или стандартного средства Windows «Архивация и восстановление». Это поможет восстановить быстро работу компьютера независимо от того, чем он заражен и способен ли антивирус определить трояна.

Это лишь основные методы и общая информация. Более подробную информацию можно найти на сайте проекта GreenFlash. Здесь представлено множество интересных решений, а также советы по созданию мультизагрузочной флэшки для любой ситуации.

Winlock распространен не только в России и ближнем зарубежье. Их модификации существуют почти на всех языках. Кроме Windows, они поражают и Mac OS X. Пользователям Linux не удастся победить этого коварного врага, так как на сегодняшний.



 

Оставить свой комментарий



Мой канал на YouTube
Наверх
Rambler's Top100