SetupComp

Как убрать баннер Windows заблокирован

Программы, блокирующие операционную систему (винлокеры), встречаются достаточно часто – это, наверное, самый распространенный вид вирусов.

Они представляют собой вредоносный код, который блокирует операционную систему. Если Вы стали счастливым обладателем винлокера – не стоит пугаться, в большинстве своем это пpоделки криворуких школьников и студентов, и убрать их при наличии некоторого количества мозга не представляет большого труда.

В одной из своих статей я уже рассказывал Вам, как убрать баннер Windows заблокирован, подробно можете ознакомиться в этой нашумевшой статье в сети Интернет.
Как удалить вирус-вымогатель с компьютера?

Итак, винлокеры делятся на:

— Запускаемые пользователем (трояны в файлах).

— Запускающиеся автоматически (из браузера, используют уязвимости).

Алгоритм работы винлоков заключается в следующем:

После запуска винлокер прописывает себя в автозагрузку и блокирует клавиатуру, кнопку «Пуск», эксплорер… да почти все, информируя о том, что Вы должны выполнить некоторые действия для успешной разблокировки своего компьютера. А как раз таки для разблокировки предлагается отправить платное SMS сообщение или перевести деньги на указанный электронный кошелек. Недалеких пользователей винлокер запугивает «удалением всех данных», «поломкой компьютера» и прочими казнями, что является обычной провокацией.

Выглядят такие баннеры-вымогатели примерно так.

Ни в коем случае не платите — ключ Вы не получите. А только разоритесь и еще больше разочаруетесь, а последнее как раз таки будет являться фактором влияющий на Ваше здоровье.

Итак, никаких SMS мы не отправляем, денюжки не переводим, а ищем мы с Вами работающий компьютер/смартфон, чтобы зайти на сайт DrWeb или Касперского – ведь там есть сервисы подбора ключей. Введите номер телефона или кошелька вымогателя и скормите винлокеру полученный ключ. Вполне может помочь. На момент написание данной статьи на сайте Касперского сервис подбора ключей несколько видоизменился, а именно теперь Вы можете скачать уже с самого сайта утилиту и выполнить проверку своего компьютера. На скрине – цифра 1. Кроме того, чтобы расшифровать данные, которые заблокированы программами-шифровальщиками, можно воспользоваться дополнительными утилитами, на скрине ниже отмечены цифрой 2.

Хотя я считаю, что раньше было все намного проще, указал комбинацию цифр или букв на сервисе удаление блокеров и тут же получил код разблокировки, ну а далее после загрузки операционной системы можно было выполнить проверку компьютера на вирусы и успешно избавится от вредоносного кода.

Сейчас же Вам понадобится дополнительный компьютер, чтобы, скажем, записать ту же утилиту на флешку или болванку (кстати, это лучше сделать заранее, пока Ваш компьютер еще не заражен), чтобы приступить к удалению вредоносного кода в компьютере.

А каким образом запустить операционную систему?

Попробуйте запустить ОС в безопасном режиме. Для этого после запуска компьютера и загрузчика нажмите F8 и стрелками выберите режим. Если винлокер не запустился – радуйтесь. Если запустился – плохо, пробуйте «безопасный режим с поддержкой командной строки». Если опять не помогло – придется загружаться с компакт-диска/флешки. Для этого понадобится Windows PE. Скачайте образ (файл ISO) и запишите на диск/флешку (обязательно с распаковкой – должен получиться загрузочный носитель), потом зайдите в BIOS (сразу после включения нажмите Del/F2/F10/F12/читайте инструкцию к вашей материнской плате) и выставите наивысший приоритет загрузки дисководу/USB Перезагрузите, сохранив изменения – запустится WinPe, которая будет обладать достаточным функционалом для удаления вируса.

Часто вместе с PE на диске идут различные полезные утилиты.

1. BIOS, настроенный на загрузку с CD-привода

2. Тот самый «Реаниматор»

Способы чистки «своими руками»

Проверенная методика: запускаем файловый менеджер и чистим все кэши браузеров и все папки, имеющие в названии слово «Temp», а также папку Application Data в папке пользователя. Частенько помогает при попадании винлокера на компьютер через браузер – вирус имеет обыкновение сохраняться именно там. Если не через браузер – удалите скачанный вами файл с вирусом. Перезагрузите. Ну как, помогло? Если нет – идем дальше.

Можно воспользоваться специальной программой, которая очистит Ваш компьютер от ненужных файлов. Более подробно читайте эту статью:
Как очистить компьютер от всякого хлама?

3. Total Commander

Попробуйте поискать файлы по дате изменения – многие винлокеры пренебрегают сменой дат и легко вычисляются. Кстати, некоторые вирусы лечатся элементарной перестановкой даты в BIOS на пару лет вперед/назад.

Как Вы думаете, кто отвечает за автозапуск в операционной системе? Правильно, реестр. Его мы и будем чистить. Если получилось запустить родную ОС – нажмите комбинацию клавиш Win+R и в появившемся окне в строке поиска введите «regedit», либо введите regedit в консоль – для безопасного режима с поддержкой командной строки.

В общем, откроется редактор реестра.

Если работаете с другой ОС – запустите редактор реестра и в меню «Файл» выберите «Загрузить куст». Найдите в пораженной системе файл «Software» — он находится тут: Windows\system32\config. А нам нужна ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Проверьте параметр Shell – там должно стоять значение «explorer.exe», и Userinit — \WINDOWS\system32\userinit.exe. Если оно отличается – ставьте то, которое должно быть. Стоит учесть, что некоторые винлокеры прописывают параметр, внешне не отличающийся от «родного», но некоторые буквы там кириллические. Поэтому будет хорошо перезаписать важные параметры вручную.

Также проверьте ветки автозагрузки: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (а также runonce – ветка одноразовой загрузки, может каждый раз перезаписываться винлокером). Обнаружили подозрительные записи – удаляйте, если боитесь чего попортить – измените значение параметра, приписав к имени файла любой символ.

Кстати, некоторые винлоки не прописывают в автозагрузку свой файл, а модифицируют имеющийся системный – Explorer или Userinit. Решается снятием хеш-сумм с системных файлов и, при необходимости, заменой их на чистые с подходящей версии системы.

4. Редактор реестра

Нам понадобится рабочая ОС и «одноразовая» версия антивируса: DrWeb CureIt, Kaspersky Removal Tool (исполняемые файлы) или DrWeb LiveCD, Kaspersky Rescue Disk (сборки «операционная система + антивирус», их необходимо записать на диск и загрузиться с него; это называется «LiveCD»). Если запустилась «родная» ОС (в безопасном режиме) – запустите файл антивируса и просканируйте компьютер. Если нет – загрузитесь с LiveCD или загрузите Windows PE и запустите EXE-файл антивируса с флешки. Также можно снять жесткий диск компьютера и подключить его к другому компьютеру. Просканируйте жесткий диск, следуя инструкциям. Это займет достаточное количество времени.

Итак, завершая сегодняшнюю статью «Как убрать баннер Windows заблокирован» следует отметить, что достаточно будет соблюдать выполнение следующих мер:

— Создайте ограниченную учетную запись – винлокер не сможет редактировать куст HKLM, а в случае чего заразу можно вычистить из администраторской записи.

— Запаситесь загрузочным диском и «одноразовым» антивирусом. Последний имеет смысл регулярно скачивать заново.

— Не запускайте программы, скачанные откуда попало – используйте проверенные официальные сайты или пиратские порталы.

— Не используйте Internet Explorer.

— Не ходите по подозрительным сайтам, не ведитесь на требования «прямо сейчас» что-то загрузить.

— Обязательно поставьте Anvir Task Manager (программа защиты автозагрузки и отслеживания процессов, подробнее о нем читайте на официальном сайте).

— Желательно установить антивирус и регулярно обновлять базы.

 

Пожалуй, это все о чем я хотел Вам сегодня рассказать, желаю Вам не встречать на своем пути всевозможных троянов и винлокеров.