Ефективні методи видалення банера-здирника (вінлокера)

Вінлокер (Trojan.Winlock) - комп'ютерний вірус, який блокує доступ до Windows. Після інфікування пропонує користувачеві відправити SMS для отримання коду, що відновлює працездатність комп'ютера. Має безліч програмних модифікацій: від найпростіших - «внедряющихся» у вигляді надбудови, до найскладніших - модифікуючих завантажувальний сектор вінчестера.

Попередження! Якщо ваш комп'ютер заблокований вінлокером, ні за яких обставин не відправляйте SMS і не переказуєте кошти, щоб отримати код розблокування ОС. Немає ніякої гарантії, що вам його відправлять. А якщо це і станеться, знайте, що ви віддасте зловмисникам свої кровно зароблені за просто так. Не піддавайтеся хитрощів! Єдино правильне рішення в цій ситуації - видалити вірус-вимагач з комп'ютера.

Самостійне видалення банера-здирника

Даний метод применителей до вінлокерам, що не блокують завантаження ОС в безпечному режимі, редактор реєстру і командний рядок. Його принцип дії заснований на використанні виключно системних утиліт (без задіяння антивірусних програм).

1. Побачивши шкідливий банер на моніторі, першим ділом відключіть інтернет-з'єднання.

2. Перезавантажте ОС в безпечному режимі:

• в момент перезавантаження системи утримуйте «F8» до тих пір, поки на моніторі чи не з'явиться меню «Додаткові варіанти завантаження»;
• використовуючи стрілки курсору виберіть пункт «Безпечний режим з підтримкою командного рядка» і натисніть «Enter».

Увага! Якщо ПК відмовляється завантажуватися в безпечному режимі і не запускається командний рядок / утиліти системи, спробуйте вінлокер видалити іншим способом (дивіться нижче).

3. У командному рядку наберіть команду - msconfig і натисніть «ENTER».

4. На екрані з'явиться панель «Конфігурація системи». Відкрийте в ній вкладку «Автозавантаження» і ретельно перегляньте список елементів на предмет присутності вінлокера. Як правило, в його імені містяться безглузді буквено-цифрові комбінації («mc.exe», «3dec23ghfdsk34.exe» та ін.) Вимкніть всі підозрілі файли і запам'ятайте / запишіть їх назви.

5. Закрийте панель і перейдіть в командний рядок.

6. Введіть команду «regedit» (без лапок) + «ENTER». Після активації відкриється редактор реєстру Windows.

Ще стаття:Як видалити не віддаляється папку з комп'ютера?

7. У розділі «Правка» меню редактора клікніть «Знайти ...». Напишіть ім'я і розширення вінлокера, знайденого в автозавантаженні. Запустіть пошук кнопкою «Знайти далі ...». Усі записи з назвою вірусу необхідно видалити. Продовжуйте сканування за допомогою клавіші «F3», поки не будуть перевірені всі розділи.

8. Тут же, в редакторі, переміщаючись по лівому стовпчику, перегляньте директорію:
HKEY_LOCAL_MACHINE Software Microsoft Windows NT Current Version Winlogon.

Запис «shell» - повинна мати значення «explorer.exe» - запис «Userinit» - «C: Windows system32 userinit.exe,».

В іншому випадку, при виявленні шкідливих модифікацій, за допомогою функції «Виправити» (права кнопка мишки - контекстне меню) встановіть вірні значення.

9. Закрийте редактор і знову перейдіть в командний рядок.

10. Тепер потрібно видалити банер з робочого столу. Для цього введіть у рядку команду «explorer» (без лапок). Коли з'явиться оболонка Windows, приберіть всі файли і ярлики з незвичайними назвами (які ви не встановлювали в систему). Швидше за все, один з них і є банер.

11. Перезапустіть Windows в звичайному режимі і переконайтеся, що вам вдалося видалити зловреда:

• якщо банер зник - підключіть інтернет, поновіть бази встановленого антивіруса або скористайтеся альтернативним антивірусним продуктом і проскануйте всі розділи вінчестера;
• якщо банер продовжує блокувати ОС - скористайтеся іншим методом видалення. Можливо, ваш ПК вразив вінлокер, який «закріплюється» в системі трохи по-іншому.

Видалення за допомогою антивірусних утиліт

Щоб скачати утиліти, що видаляють вінлокери, і записати їх диск, вам знадобиться інший, неінфікований, комп'ютер або ноутбук. Попросіть сусіда, товариша чи друга покористуватися його ПК годинку-другу. Запасіться 3-4 чистими дисками (CD-R або DVD-R).

Рада! Якщо ви читаєте цю статтю в ознайомлювальних цілях і ваш комп'ютер, слава богу, живий-здоровий, все одно скачайте собі лікуючі утиліти, що розглядаються в рамках це статті, і збережіть їх на дисках або флешці. Заготовлена «аптечка», збільшує ваші шанси перемогти вірусний банер удвічі! Швидко і без зайвих хвилювань.

AntiWinlocker

1. Зайдіть на Оф.сайт розробників утиліти - antiwinlocker.ru.

2. На головній сторінці клікніть кнопку AntiWinLockerLiveCd.

3. У новій вкладці браузера відкриється список посилань для скачування дистрибутивів програми. У графі «Образи диска для лікування заражених систем» пройдіть по посиланню "Завантажити образ AntiWinLockerLiveCd» з номером старшої (нової) версії (наприклад, 4.1.3).

4. Скачайте образ у форматі ISO на комп'ютер.

5. Запишіть його на DVD-R / CD-R в програмі ImgBurn або Nero, використовуючи функцію «Записати образ диск». ISO-образ повинен записатися в розпакованому вигляді, щоб вийшов завантажувальний диск.

6. Вставте диск з AntiWinLocker в ПК, в якому безчинствує банер. Перезапустіть ОС і зайдіть в БІОС (дізнайтеся гарячу клавішу для входу стосовно до вашого компьютеру- можливі варіанти - «Del», «F7»). Встановіть завантаження нема з вінчестера (системного розділу С), а з DVD-приводу.

7. Знову перезавантажте ПК. Якщо ви зробили все правильно - коректно записали образ на диск, змінили налаштування завантаження в БІОС - на моніторі з'явиться меню утиліти AntiWinLockerLiveCd.

8. Щоб автоматично видалити вірус-вимагач з комп'ютера натисніть кнопку «СТАРТ». І все! Інших дій не знадобиться - знищення в один клік.

9. По закінченню процедури видалення, утиліта надасть звіт про виконану роботу (які сервіси і файли вона розблокувала і вилікувала).

10. Закрийте утиліту. При перезавантаженні системи знову зайдіть в БІОС і вкажіть завантаження з вінчестера. Запустіть ОС в звичайному режимі, перевірте її працездатність.

WindowsUnlocker (Лабораторія Касперського)

1. Відкрийте в браузері сторінку sms.kaspersky.ru (Оф.сайт Лабораторії Касперського).

2. Натисніть кнопку «Завантажити WindowsUnlocker» (розташована під написом «Як прибрати банер»).

3. Дочекайтеся поки на комп'ютер скочується образ завантажувального диска Kaspersky Rescue Disk з утилітою WindowsUnlocker.

4. Запишіть образ ISO таким же чином, як і утиліту AntiWinLockerLiveCd - зробіть завантажувальний диск.

5. Налаштуйте БІОС заблокованого ПК для завантаження з DVD-приводу. Вставте диск Kaspersky Rescue Disk LiveCD і перезавантажте систему.

6. Для запуску утиліти натисніть будь-яку клавішу, а потім стрілочками курсора виберіть мову інтерфейсу («Російський») та натисніть «ENTER».

7. Ознайомтеся з умовами угоди і натисніть клавішу «1» (згоден).

8. Коли на екрані з'явиться робочий стіл Kaspersky Rescue Disk, клікніть по крайній лівій іконці в панелі завдань (буква «K» на синьому тлі), щоб відкрити меню диска.

9. Виберіть пункт «Термінал».

10. У вікні терміналу (root: bash) біля запрошення «kavrescue ~ #» введіть «windowsunlocker» (без лапок) і активуйте директиву клавішею «ENTER».

11. З'явиться меню утиліти. Натисніть «1» (Розблокувати Windows).

12. Після розблокування закрийте термінал.

13. Доступ до ОС вже є, але вірус і раніше гуляє на волі. Для того, щоб його знищити, виконайте наступне:

• підключіть інтернет;
• запустіть на робочому столі ярлик «Kaspersky Rescue Disk»;
• поновіть сигнатурні бази антивіруса;
• виберіть об'єкти, які потрібно перевірити (бажано перевірити всі елементи списку);
• лівою кнопкою миші активуйте функцію «Виконати перевірку об'єктів»;
• в разі виявлення вірусу-здирника із запропонованих дій виберіть «Видалити».

14. Після лікування в головному меню диска клікніть «Вимкнути». У момент перезапуску ОС, зайдіть в БІОС і встановіть завантаження з HDD (вінчестера). Збережіть налаштування і завантажте Windows в звичайному режимі.

Сервіс розблокування комп'ютерів від Dr.Web

Цей спосіб полягає в спробі змусити вінлокер самознищитися. Тобто дати йому, то що він вимагає - код розблокування. Природно гроші для його отримання вам витрачати не доведеться.

1. Перепишіть номер гаманця або телефону, який зловмисники залишили на банері для покупки коду розблокування.

2. Зайдіть з іншого, «здорового», комп'ютера на сервіс розблокування Dr.Web - drweb.com/xperf/unlocker/.

3. Введіть в поле переписаний номер і клацніть кнопку «Шукати коди». Сервіс виконає автоматичний підбір коду розблокування згідно з вашим запитом.

4. Перепишіть / скопіюйте всі коди, відображені в результатах пошуку.

Увага! Якщо таких не знайдеться в базі даних, скористайтеся рекомендацією Dr.Web за самостійним видаленню вінлокера (пройдіть за посиланням, розміщеної під повідомленням «На жаль, за вашим запитом ...»).

5. На зараженому комп'ютері в «інтерфейс» банера введіть код розблокування, наданий сервісом Dr.Web.

6. У разі самоліквідації вірусу, поновіть антивірус і проскануйте всі розділи жорсткого диска.

Попередження! Іноді банер не реагує на введення коду. У такому випадку необхідно задіяти інший спосіб видалення.

Видалення банера MBR.Lock

MBR.Lock - один з найнебезпечніших вінлокеров. Модифікує дані і код головного завантажувального запису жорстокого диска. Багато користувачів, не знаючи як видалити банер-вимагач даного різновиду, починають встановлювати заново Windows, в надії, що після цієї процедури, їх ПК «одужає». Але, на жаль, цього не відбувається - вірус продовжує блокувати ОС.

Щоб позбутися вимагача MBR.Lock виконайте такі дії (варіант для Windows 7):
1. Вставте диск Windows (підійде будь-яка версія, збірка).

2. Зайдіть в BIOS комп'ютера (дізнайтеся гарячу клавішу для входу в БІОС в технічному описі вашого ПК). У налаштуванні First Boot Device встановіть «Сdrom» (завантаження з DVD-приводу).

3. Після перезапуску системи завантажиться інсталяційний диск Windows 7. Виберіть тип своєї системи (32/64 біт), мову інтерфейсу і натисніть кнопку «Далі».

4. У нижній частині екрана, під опцією «Встановити», клікніть «Відновлення системи».

5. У панелі «Параметри відновлення системи» залиште все без змін і знову натисніть «Далі».

6. Виберіть у меню коштів опцію «Командний рядок».

7. У командному рядку введіть команду - bootrec / fixmbr, а потім натисніть «Enter». Системна утиліта перезапішет завантажувальний запис і тим самим знищить шкідливий код.

8. Закрийте командний рядок, і натисніть «Перезавантаження».

9. Проскануйте ПК на віруси утилітою Dr.Web CureIt! або Virus Removal Tool (Kaspersky).

Варто відзначити, що є й інші способи лікування комп'ютера від вінлокера. Чим більше у вашому арсеналі буде коштів по боротьбі з цією заразою, тим краще. А взагалі, як кажуть, береженого Бог береже - не спокушайте долю: не заходьте на сумнівні сайти і не встановлюйте ПЗ від невідомих виробників.

Нехай ваш ПК банери-вимагачі минуть стороною. Удачі!