Как снять винлокер через Биос: пошаговая инструкция

Чтобы убрать винлокер через BIOS, сначала необходимо перезагрузить компьютер и войти в настройки BIOS, нажав соответствующую клавишу (обычно это F2, Del или Esc во время загрузки системы). В меню BIOS найдите раздел, связанный с безопасностью или загрузкой, и отключите функцию «Безопасная загрузка» или «Secure Boot», если такая опция существует.

После внесения изменений сохраните настройки и перезапустите компьютер. Если необходимо, установите другой способ загрузки, чтобы отключить блокировку. Важно помнить, что изменение настроек BIOS может повлиять на работу системы, поэтому следуйте инструкциям внимательно.

Как убрать баннер с рабочего стола

Подробное руководство по снятию блокировки с компьютера, если вы столкнулись с баннером, который сообщает о том, что ваш компьютер заблокирован. Описаны различные методы, и, вероятно, наиболее эффективным в большинстве ситуаций является редактирование реестра Windows.

Общая информация

Проблема с баннерами-сообщениями-вымагателями стала одной из самых распространённых среди современных пользователей — говорю это, как специалист по ремонту компьютеров на дому. Прежде чем перейти к методам удаления смс-баннеров, хочу отметить несколько общих моментов, которые могут быть полезны для тех, кто с этим сталкивается впервые.

• не отправляйте деньги на какой-либо номер — в 95% случаев это не принесёт результата, также не стоит отправлять смс на короткие номера (хотя такие баннеры встречаются всё реже).
• В большинстве случаев в окошках, которые появляются на экране, содержится информация о предполагаемых ужасных последствиях, которые могут вас ожидать, если вы не выполните требования: полное удаление всех файлов на компьютере, уголовное преследование и прочие угрозы. Не стоит доверять тому, что написано — это всего лишь уловка, чтобы заставить неопытного пользователя быстрее поторопиться к терминалу и внести 500, 1000 или даже больше рублей.
• Программы, которые могут помочь получить код разблокировки, зачастую не располагают этим кодом, так как он не предусмотрен в баннере — поле для ввода кода есть, а самого кода нет. Мошенникам не нужно усложнять себе задачу и заботиться об удалении своего смс-вымогателя; их цель — просто завладеть вашими деньгами.
• Если вы решите обратиться за помощью к профессионалам, то можете столкнуться с ситуацией, когда некоторые компании, предлагающие услуги по ремонту компьютеров, а также отдельные специалисты, будут утверждать, что для удаления баннера необходимо переустановить операционную систему Windows. Это не является правдой: в данной ситуации переустановка системы не требуется. Люди, утверждающие иное, либо не обладают необходимыми знаниями и рассматривают переустановку как самый простой способ устранения проблемы, не требующий особых навыков; либо стремятся заработать больше средств, поскольку стоимость переустановки ОС значительно выше, чем удаление баннера или лечение вирусов (к тому же, некоторые устанавливают отдельную плату за сохранение пользовательской информации в процессе установки).

Наверное, для начала достаточно. Переходим к основной части.

Как убрать баннер — видео инструкция

В данном видео наглядно показан самый эффективный способ удаления баннера вымогателя с помощью редактора реестра Windows в безопасном режиме. Если из видео что-то осталось не ясно, то ниже этот же способ подробно расписан в текстовом формате с картинками.

Удаление баннера с помощью реестра

(не пригоден в редких ситуациях, когда уведомление о вымогательстве появляется до загрузки Windows, то есть сразу после инициализации BIOS, без появления логотипа Windows, на экране появляется текст баннера)

За исключением вышеописанного случая, данный метод работает почти всегда. Даже если вы не являетесь опытным пользователем компьютера, не следует волноваться — просто выполните шаги инструкции, и у вас все получится.

Сначала нужно получить доступ к редактору реестра Windows. Самый простой и эффективный способ сделать это — загрузить компьютер в безопасном режиме с поддержкой командной строки. Для этого: включите компьютер и нажимайте F8, пока не появится список доступных режимов загрузки. В некоторых версиях BIOS клавиша F8 может вызвать меню выбора диска, с которого нужно загрузить систему. В таком случае выберите ваш основной жесткий диск, нажмите Enter, а затем снова F8. Теперь выберите безопасный режим с поддержкой командной строки.

Затем мы ждем, пока загрузится консоль с просьбой ввести команды. Вводим: regedit.exe и жмем Enter. После этого должен открыться редактор реестра Windows regedit. Реестр Windows хранит системные данные, включая информацию о программе, которые запускаются автоматически при запуске операционной системы. Наш баннер тоже записан там, и сейчас мы его найдем и удалим.

Слева в редакторе реестра мы видим папки, которые называются разделами. Нам предстоит проверить, чтобы в тех местах, где может прописать себя этот так называемый вирус, не было посторонних записей, а если они там есть — удалить их. Таких мест несколько и проверить нужно все. Начинаем.

HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Run

Обычно их имена состоят из случайного сочетания букв и цифр, например: asd87982367.exe. Еще одной характерной чертой является размещение в каталоге C:/Documents and Settings/ (подкаталоги могут различаться), кроме того, это может быть файл ms.exe или другие файлы, которые находятся в каталогах C:/Windows или C:/Windows/System.

Рекомендуется избавиться от сомнительных записей в реестре. Для этого необходимо щелкнуть правой кнопкой мыши на имени параметра в столбце "Имя" и выбрать опцию «удалить». Не стоит опасаться случайно удалить что-то важное — это не приведет к серьезным последствиям: лучше удалить больше незнакомых программ, так как это не только повысит вероятность устранения баннеров, но и, возможно, улучшит производительность вашего компьютера в дальнейшем (в автозагрузке у некоторых пользователей может быть множество лишних элементов, что замедляет работу системы). При удалении параметров также рекомендуется запомнить путь к файлу, чтобы затем удалить его из его исходного местоположения.

Все вышеописанное повторяем для

HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows -> CurrentVersion -> Run

В последующих секциях действия несколько отличаются:

HKEY_CURRENT_USER -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon

Здесь нужно убедиться, что параметры, такие как Shell и Userinit, отсутствуют. В противном случае их следует удалить, они здесь неуместны.

HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon

В общем-то все. Теперь можно закрыть редактор реестра, ввести в еще незакрытую командную строку explorer.exe (запустится рабочий стол Windows), удалить файлы, месторасположение которых мы выяснили в ходе работы с реестром, перезагрузить компьютер в обычном режиме (т.к. сейчас он находится в безопасном). С большой вероятностью все будет работать.

Если не удается загрузиться в безопасном режиме, можно использовать любой Live CD, в который входит редактор реестра, такой как Registry Editor PE, и выполнить все упомянутые ранее действия в этом окружении.

Убираем баннер с помощью специальных утилит

Сопоставимые решения от других производителей:

• Dr.Web LiveCD http://www.freedrweb.com/livecd/how_it_works/
• AVG Rescue CD http://www.avg.com/us-en/avg-rescue-cd-download
• ОбразVba32Rescue http://anti-virus.by/products/utilities/80.html

Вы также можете попробовать получить код для отключения смс-вымогателя через следующие специализированные сервисы:

Баннер появляется до загрузки Windows

Редкая ситуация, когда вирус-вымогатель активируется сразу после старта компьютера, указывает на то, что вредоносная программа внедрилась в главную загрузочную запись жесткого диска MBR. В такой ситуации получить доступ к редактору реестра не удастся, более того, баннер не загружается оттуда. В некоторых случаях на помощь могут прийти Live CD, ссылки на которые приведены выше.

Если у Вас установлена Windows XP, то исправить загрузочный раздел жесткого диска можно с помощью установочного диска операционной системы. Для этого, необходимо загрузиться с этого диска, и когда Вам предложат войти в режим восстановления Windows, нажав клавишу R — сделать это. В результате должна появиться командная строка. В ней нам необходимо выполнить команду: FIXBOOT (подтвердить, нажав Y на клавиатуре). Также, если Ваш диск не разбит на несколько разделов можете выполнить команду FIXMBR.

Если у вас нет установочного диска или вы используете иную версию ОС Windows, можно восстановить MBR с помощью утилиты BOOTICE или других программ для работы с загрузочными секторрами жесткого диска. Для этого скачайте утилиту из интернета, сохраните её на USB-накопителе и загрузите компьютер с Live CD, после чего запустите программу с флешки.

На экране появится меню, в котором вам нужно выбрать ваш основной жесткий диск и нажать кнопку Process MBR. В следующем окне выберите необходимый тип загрузочной записи (обычно он определяется автоматически), нажмите кнопку install/Config, затем — ОК. После завершения всех действий программой, перезагрузите компьютер без Live CD — всё должно работать как и раньше.

Баннер-вымогатель — казнить, нельзя помиловать

Баннеры «Windows заблокирован — для разблокировки отправьте СМС» и их многочисленные вариации безмерно любят ограничивать права доступа вольных пользователей ОС Windows. При этом зачастую стандартные способы выхода из неприятной ситуации – корректировка проблемы из Безопасного режима, коды разблокировки на сайтах ESET и DR Web, как и перенос времени на часах BIOS в будущее далеко не всегда срабатывают.

Неужели единственный выход — это переустановка системы или же выплата вымогателям? Разумеется, возможно выбрать более простой путь, но может стоит попробовать самостоятельно справиться с настойчивым врагом по имени Trojan.WinLock, используя доступные средства? Тем более что данную проблему можно попытаться решить достаточно оперативно и абсолютно без расходов.

С кем боремся?

Первые образцы программ-вымогателей начали свою активность в декабре 1989 года. Тогда многие пользователи получили по почте диски с информацией о вирусе СПИДа. После установки небольшой программы система выходила из строя. Пользователям предлагали заплатить за восстановление работоспособности. Вредоносная деятельность первого SMS-блокера, которая ввела пользователей в понятие “синий экран смерти”, была зафиксирована в октябре 2007 года.

Trojan.Winlock (Винлокер) — представитель обширного семейства вредоносных программ, установка которых приводит к полной блокировке или существенному затруднению работы с операционной системой. Используя успешный опыт предшественников и передовые технологии разработчики винлокеров стремительно перевернули новую страницу в истории интернет-мошенничества. Больше всего модификаций вируса пользователи получили зимой 2009-2010 гг, когда по данным статистики был заражен ни один миллион персональных компьютеров и ноутбуков. Второй пик активности пришелся на май 2010 года. Несмотря на то, что число жертв целого поколения троянцев Trojan.Winlock в последнее время значительно сократилось, а отцы идеи заключены под стражу, проблема по-прежнему актуальна.

Количество различных версий винлокеров превысило тысячу. В первых версиях (например, Trojan.Winlock 19 и других) злоумышленники запрашивали за разблокировку доступа всего 10 рублей. Если пользователь не проявлял активности в течение 2 часов, программа сама удалялась, оставляя лишь неприятные воспоминания. Со временем требования возросли, и для разблокировки Windows в более поздних версиях стало нужно уже 300 – 1000 рублей и выше. О самоудалении программы разработчики, похоже, позабыли.

Пользователю доступны несколько способов оплаты: СМС-платежи на короткий номер или через электронные кошельки, такие как WebMoney и Яндекс Деньги. Основным побуждающим фактором для неопытного пользователя, который решается на платеж, являются перспективы доступа к порносайтам или возможность использовать нелицензионное программное обеспечение. Для усиления воздействия, текстовое обращение вымогателя содержит угрозы разрушения данных на компьютере пользователя в случае попытки обмана системы.

Пути распространения Trojan.Winlock

В основном заражение происходит из-за уязвимостей в браузере. Риск представляет собой те же самые "взрослые" сайты. Классическим способом заражения служит юбилейный посетитель с заманчивым призом. Другим распространенным методом инфицирования являются программы, которые выдают себя за надежные инсталляторы, самораспаковывающиеся архивы и обновления, такие как Adobe Flash и др. Дизайн троянов яркий и разнообразный, часто применяется техника маскировки под окна антивирусов, реже используются анимации и другие элементы.

Среди общего многообразия встречающихся модификаций, Trojan.Winlock можно разделить на 3 типа:

1. Порно-баннеры, которые активируются только при открытии окна браузера.
2. Баннеры, которые остаются на экране даже после закрытия браузера.
3. Баннеры, которые возникают после загрузки рабочего стола Windows и блокируют запуск диспетчера задач, доступ к редактору реестра, возможность загрузки в безопасном режиме, а в некоторых случаях также и клавиатуру.

Вредные привычки Trojan.Winlock

Чтобы обеспечить распространение и автоматический запуск, вирусы группы Trojan.Winlock изменяют записи в реестре:

-[. SoftwareMicrosoftWindowsCurrentVersionRun] ‘svhost’ = ‘%APPDATA%svhostsvhost.exe’ -[. SoftwareMicrosoftWindowsCurrentVersionRun] ‘winlogon.exe’ = ‘winlogon.exe’

С целью затруднения обнаружения в системе вирус блокирует отображение срытых файлов, создает и запускает на исполнение:

• %APPDATA%svhostsvhost.exe
• winlogon.exe
• %WINDIR%explorer.exe
• cmd.exe /c """%TEMP%uAJZN.bat"" "

eg.exe ADD «HKCUSoftwareMicrosoftWindowsCurrentVersionRun» /v «svhost» /t REG_SZ /d "%APPDATA%svhostsvhost.exe" /f

Генерирует следующие файлы:

• %APPDATA%svhostsvhost.exe
• %TEMP%uAJZN.bat
• %APPDATA%svhostsvhost.exe
• ClassName: ‘Shell_TrayWnd’ WindowName: »
• ClassName: ‘Indicator’ WindowName: »

Лечение. Способ 1-й. Подбор кодовой комбинации по платежным реквизитам или номеру телефона

Широкое распространение и серьезность данной проблемы побудили разработчиков антивирусного ПО искать действенные методы её решения. На ресурсе Dr.Web доступен интерфейс для разблокировки, который представлен в виде поля, где необходимо ввести номер мобильного телефона или адрес электронного кошелька, задействованные в вымогательстве. Заполнение этого поля (см. рисунок ниже) при наличии соответствующего вируса в базе данных позволит получить требуемый код.

Способ 2. Поиск нужного кода разблокировки по изображению в базе данных сервиса Dr.Web

На другой странице сайта

"Объективность" — это понятие, которое в значительной степени зависит от восприятия. Все мы здесь немного нездоровы. Я безумец. Ты безумна. — Откуда вы знаете, что я безумна? — спросила Алиса. — Ты, безусловно, должна быть ненормальной, — сказал Кот, — иначе ты не оказалась бы здесь.

#9 account has been deleted

account has been deleted

Отправлено 02 Февраля 2011 — 16:31

Винлок переезжает на новое место.

www.surfpatrol.ru

#10 account has been deleted

аккаунт был удалён

Отправлено 02 февраля 2011 года — 17:42

Как нейтрализовать винлок штатными средствами windows.Способ срабатывает редко, но как вариант для рассмотрения имеет место быть.

У этого метода есть одна характерная черта: когда вы увидите баннер, необходимо перезагрузить компьютер и удерживать клавишу F8, пока не появятся альтернативные варианты загрузки и восстановления системы.

www.surfpatrol.ru

#11 account has been deleted

учетная запись была удалена

Отправлено 13 Февраль 2011 — 18:46

Современные методы скрытия Винлоков в системе. Как с этим разобраться.

www.surfpatrol.ru

#12 mrbelyash

mrbelyash

Опубликовано 04 Июня 2011 — 12:34

Руководство по устранению Trojan.WinLock.3278

или вот в архиве

Сообщение обновлено mrbelyash: 04 Июня 2011 — 18:56

#13 mrbelyash

mrbelyash

Отправлено 21 сентября 2011 года — 11:15

Инструкция+ролик как собрать логи с помощью Dr.Web LiveCD/LiveUSB.

В архиве с логами окажутся данные реестра, дампы mbr и ряд прочих файлов.

Посещают тему: 0

0 пользователей, 0 посетителей, 0 незаметных

Ответить на цитированные сообщения Очистить

1. Форум Dr.Web
2. → Русские сообщества
3. → Лаборатория антивирусов
4. → Помощь в лечении
5. Политика конфиденциальности
6. Правила и условия ·
7. Изменить тему
8. Мобильное приложение Doctor Web
9. Doctor Web 7.0
10. Doctor Web 6.0 (классическая версия)
11. Doctor Web 11 (бета-версия)
12. RU>
13. EN
14. FR
15. RU
16. DE
17. Пометить все сообщения форума как прочитанные>
18. Пометить все как прочитанное
19. Поддержка