Назад к списку статей

Снятие троянов-блокировщиков

В данной статье мы попробуем снять некоторые версии троянов-блокировщиков без использования сторонних программ.

На данный момент получили огромное распространение трояны-блокировщики (они же трояны-вымогатели, trojan.winlock). В основном, смысл вируса прост — получить от вас некоторое количество денег: либо через SMS, отправленное на платный номер (сейчас такие вирусы встречаются все реже, т.к. смс-платежи легче отследить), либо просто вас просят пополнить счет подставного мобильного номера. Сумма варьируется от 200 до 900 рублей, в зависимости от наглости вирусописателя. На рисунке ниже изображен один из вариантов WinLOCK-а. Иногда, злоумышленники мотивируют оплату просмотром порно (лучше с элементами педофилии), а также ссылаются на некие законы и грозятся удалить данные с вашего компьютера. В некоторых случаях есть счетчики с обратным отсчетом — для создания паники и искусственного «дефицита времени». Сейчас мы попробуем снять Winlock не имея загрузочных дисков и дополнительных программ.

Windows WinLOCK

Рис. 1. Типичный WinLOCK — Троян блокировщик

В итоге — система не работает. Вместо рабочего стола висит окно (по типу того, что показано на рисунке). Кроме «ввода кода разблокировки» вообще ничего не работает. Сразу хотим предупредить: ДАЖЕ НЕ ДУМАЙТЕ ПОПОЛНЯТЬ СЧЕТ ЗЛОУМЫШЛЕННИКА — этим вы только помогаете им найти более профессиональных программистов для создания более изощренных способов отъема денег у пользователей.

Предположим, блокировщик закрыл вход в систему. Нам потребуется другой компьютер с выходом в интернет. Заходим на сайт https://support.kaspersky.ru/viruses/utility — база данных разблокировки Касперского. Вводим в текстовые поля номер, на который просят положить деньги и, возможно, получаем код разблокировки.

Разблокировка трояна-вымогателя Касперский

Рис. 2. Попытка разблокировки через сайт Касперского

Если коды не подходят или разблокировка вообще не возможна: Сначала попробуем справиться голыми руками — некоторые вирусы написаны настолько непрофессионально, что снять его действительно не проблема. Нужно запустить Редактор реестра и консоль Windows. У нас заблокирована система — пять раз нажимаем SHIFT на клавиатуре. Дальше все зависит от системы.

Если у нас Windows X, то нажимаем параметры (рис. 3) на знак вопроса в верхнем правом углу. Нажимаем на «Параметры». Открывается желтое окошко подсказки. На нем нажимаем правой кнопкой мыши -> Печать раздела. Получаем окно Печати.

Пятикратное нажатие шифт

Рис. 3. Удаление Winlock в Windows XP — Залипание клавиш

Выбираем «Установка принтера» — «Далее» — «Установка с диска». В открывшемся окне в графу «имя файла» вводим * (звездочка) и нажимаем Enter — теперь окно отображает все файлы. Находим C:\Windows\Regedit.exe — редактор реестра Windows. Если у вас Windows 7 и окно «Залипание клавиш» после нажатия SHIFT пять раз открылось, тут все проще — нажимаем ссылку «Перейти в центр специальных возможностей, чтобы отключить сочетание клавиш» — а в адресной строке открывшегося окна запускаем C:\Windows\Regedit.exe

Идем на HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, смотрим значение ключа USERINIT — оно должно быть «C:\Windows\system32\userinit.exe,», смотрим «shell» — значение «explorer.exe» — если что то не так — возвращаем нормальные значения и запоминаем, где лежит вирус и как его зовут.

Удаление трояна блокировщика через реестр.

Рис.4. Незараженная трояном система — так должно быть.

Запускаем C:\Windows\System32\CMD.EXE — консоль Windows. Даем команду — tasklist — список процессов. Находим там название вируса-блокировщика

Консоль со списком процессов Windows

Рис.5. Список процессов в консоли Windows

Даем команду taskkill /im ИМЯВИРУСА.exe — окно трояна исчезает. Теперь давайте удалим вирус del «C:\…и полный путь к вирусу из ключей реестра…»

На всякий случай, еще раз проверьте ключи реестра с помощью REGEDIT — вдруг он обновляется раз в несколько секунд. Перезагружаете компьютер и пользуетесь системой дальше.

Если данная инструкция не помогла, нужно будет лечить компьютер с помощью специального программного обеспечения — об этом наша следующая статья…

Специалисты службы компьютерной помощи «Джинн«

Джинн.ру

Помогите проекту Джинн.ру

На моем сайте нет рекламы, все программы созданные мной и моими друзьями - бесплатные, подобранные утилиты и драйвера проверены, все данные находятся на наших серверах и доступны 24/7 (как говорится - без регистрации и смс). Работа по созданию сайта, аренда и обслуживание серверов стоит времени и денег. Я делал проект таким, каким хотел бы видеть современный интернет, где нет кликбейта, мусора и рекламы, когда можно не бояться зайти на какую-нибудь страничку и накачать вирусов, когда не знаешь, где настоящая кнопка "скачать", а где - вредоносная ссылка.
Если вы нашли на Джинн.ру информацию, драйвер или программу, которая помогла вам решить проблему - мы будем очень рады, если вы поддержите нас материально. А еще мы рады отзывам.

С уважением, Михаил и проект Джинн.ру

В России - Карта МИР Сбербанк (российские рубли) - 2202 2013 5454 1142 Михаил К.

$ В остальном мире - Карта VISA BakaiBank (американские доллары) - 4714 2400 6990 3442 Mihail K.

На BitCoin кошелек - bc1qs4pnfvvxcjykwg7uu3rl5fahfdypcf9rksvwkd