четверг, 30 августа 2012 г.

Ваша Windows заблокирована за просмотр, вирус заблокировал компьютер.

Как разблокировать компьютер и восстановить Windows самостоятельно


     Если Вы являете постоянными читателями моего блога, то знаете, что я живу в Орле, и работаю инженером программистом в сервисном центре. В своей работе я развиваю несколько направлений, и одним из которых является лечение и удаление различных компьютерных вирусов.

Наш славный город Орел, особенно ничем не отличается от остальных городов России, а в свете последних события, я могу смело заключить, что вирус может заблокировать компьютер, когда вы просматриваете абсолютно безобидный например компьютерный портал.

Просто, чем популярнее сайт, блог, форум, портал, тем больший интерес он представляет для злоумышленника, который например, взломав админку сайта может добавить вредоносный JavaScript код на страницы сайта, и тот в свою очередь выполнится когда пользователь откроет этот сайт в своем браузере.

Но статья моя сегодня будет не об этом, а о том, как наглый вирус заблокировал мой компьютер.
Windows заблокирован за просмотр...



    Вчера вечером впервые в жизни поймал трояна, который успешно загрузил ко мне на комп вирус winlock, причем просматривая совершенно безобидный компьютерный портал diwaxx.ру. Внезапно мышка замкнулась в прямоугольник, клава отказала, симптомы знакомы, в свое время начинал изучать программирование на Delphi именно с использования функций  Win Api.
У меня было чувство, что кто-то решил поиграть со мной.
Не ужели какая-то прога с компа (а у меня их много:) решила запуститься самопроизвольно? Уже всех кодов и не помню, но таких наглых... обычно диспетчер задач я никогда не отключал, на всякий случай, а тут.

Следующая мысль которая мелькнула в моем сознании: может клавиатура умерла, но мышь?

Минуты через три,  я реально прозрел! Появилось оно - злое окно.

Естественно дома у меня стоит бесплатный Avast, и он даже не заметил подвоха. Он пропустил троян, который и загрузил winlock. На мое удивление вирус  оказался простейший, молча сидел в run (автозагрузка), и даже позволил мне зайти в безопасный режим с поддержкой командной строки через F8.

Дальше все, как обычно: вбил команду regedit, в реестре нашел куст:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell

и был удивлен когда увидел explorer.exe.
Ну и конечно же я сразу проверил куст реестра который отвечает за автозагрузку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

стоит ли говорить, что мне повезло, когда я увидел тупо маячащей вирус  именно в этой ветке.
Нажатием Shift+Delete вирус был удален из системы минуя корзину.

     Естественно я снес Аваст и на этот комп сразу поставил FortiClient, немного под-настроив файрвол и веб фильтр повторил вход на портал и вуа-ля все нормал! Ну, а если вы поймали вирус -> блокировщик-> вымогатель, то :
Ни в коем случае, не отправляйте СМС и не пополняйте чей-то счет!
Одним из самых простых способов восстановления ОС Windows, после появления вируса вымогателя, являются стандартные средства восстановления, а именно команда rstrui, выполненная в командной строке, после входа в безопасном режиме (F8). Подробное описание восстановления ОС Windows, стандартными средствами смотрите в статье, как разблокировать компьютер самостоятельно

Ну, а все инструкции по удалению WinLock'-ов и разблокированию компьютера, а также ссылки на бесплатные антивирусы, LiveCD, и прочий софт для лечения и удаления вирусов находятся в моем блоге, которые я собрал, и опубликовал по случаю такому.
 
Все действия вирусов вымогателей и баннеров, которые блокируют работу Windows достаточно однотипны, и как правило трояны загружаемые JavaScript прописываются в одних и тех же параметрах реестра ОС Windows.

Поэтому вы можете сами удалить вирус Winlock, и разблокировать компьютер. Если будут возникать вопросы, пишите и я постараюсь вам ответить.

21 комментарий:

  1. Cлава богу у меня операционка Linux. Винду держу только для кошелька вебмани. А с этой заразой сталкивался не раз. И пару раз даже винду переустанавливал. Теперь уж знаю как вылечить.

    ОтветитьУдалить
    Ответы
    1. Да я уж тоже сам давно на Linux перешел)
      Но подавляющее большинство, как показывает практика юзает Win-ду, а у нее совсем другие представления о безопасности.

      Удалить
  2. Я тоже пару раз попадался в самый не подходящий момент! Спасибо!

    ОтветитьУдалить
  3. А может пользоваться платной версией антивируса касперского? Думаю, что kaspersky internet security не допустит никакого вируса и winlock.
    Программистам легко обнаружить вирус, а вот новичкам и обычным пользователям не легко бороться с вирусами. Поэтому надежный антивирус всегда обеспечивает надежную защиту от хакеров.

    ОтветитьУдалить
    Ответы
    1. Даже самый надежный, платный антивирус не обеспечит 100% от вирусов, ведь он может быть написан, например только вчера. И еще не описан в базе сигнатур антивирусов. А винлоки вообще используют функции Wia Api это внутренние функции Windows. Такие например, как выключить компьютер = shutdown, сделать окно скрытым = Hide или неактивным = Disable.
      И поэтому антивирус (даже самый крутой) не сможет определить специально пользователь или (прога) выключила комп, ведь во многих прогах есть функция выключения компьютера, или это сделал намеренно вирус.

      Удалить
  4. Спасибо за полезную инфу. Не раз приходилось переустанавливать винду из - за разных проблем, но с этим вирусом пока не сталкивался.Хорошо когда сам можешь справиться с вирусами.Остается только Вам искренно позавидовать! Ссылку отправлю в закладки.

    ОтветитьУдалить
    Ответы
    1. Вы знаете Алекс я уже наверное две тысячи раз удалял вирусы winlock-и и разблокировал Windows XP/Vista/7 у знакомых и клиентов в Орле.
      А раньше, еще когда учился в инсте, очень много времени уделял разработкам всевозможных программ приколов [на Win Api], для того, что-бы понять, как они могут воздействовать на Windows, и порой просто был в шоке.
      Но никогда свои разработки не выкладывал в сеть. Да их и без того в инете полно, качай == не хочу.
      А вот, что сам попаду на крючок винлока и предположить даже не мог. А оно вот, как приключилось.
      Причем во второй раз, мне именно заблокировали доступ вконтакте. Тоже смеху было.

      Удалить
  5. У меня в офисе один комп поймал такой вирус - я его убил с горем пополам, согласно инструкций, ну так это троян - стоило отвернуться как он опять засел, но знаете что примечательно? Снесли винду поставили новую, комп перекочевал на другую фирму и как вы думаете? не прошло и 2х неделт после работы компа - на те здрасте.Вот ту как рвз стоит задуматься над тем что вирус ищет не только свободный комп. а скорее всего часть свою оставляет глубоко не в виндовс...

    ОтветитьУдалить
  6. Трян- это очень серьезно. И самые серьезные антивирусные программы иногда не могут справиться.

    ОтветитьУдалить
  7. как завидую вашим родным, друзья и знакомым, что у них есть такой мастер по наладке компьютеров! ДЛя понимающих в этом, ваш сайт- кладезь полезного!

    ОтветитьУдалить
  8. Когда у меня был офис и приходило много клиентов, однажды под этот троян попал и мой комп. В самый не подходящий момент. Я их всех усаживаю. Объясняю. Делаю вступительное слово. Включаю комп, - а там....
    На весь экран таблица с просьбой перечислить деньги, а не то все узнают, что я захожу на сайты эротического содержания.

    Я был тогда в шоке. Два дня мы этот троян удаляли. Отдал программисту комп на дом. Потом, когда комп уже вернулся в офис, - я заметил, что остались какие-то не удалённые файлы в корзине. Дай, думаю, взгляну. Может что-то не то выбросилось. Изучаю. Оказывается, мне всунули программу, которая следит и записывает все мои действия на компьютере. А тогда я имел дело с инвестициями и паролями в электронные системмы платежей. Мне люди доверяли и свои деньги, пароли и представление их интересов.

    Если бы я этого не заметил, исчезли бы все наши деньги на всех счетах. Это был бы полный аут. Программку эту я нашёл и удалил. С программистом потом долгое время не общался. Сейчас, опять дружим. Потому, что нечего у меня красть. Вот такие были дела. Этот вирус сыграл со мной целую сцену. Можно даже фильмы снимать.

    ОтветитьУдалить
  9. А еще советуют просто переустановить WINDOWS ...

    ОтветитьУдалить
    Ответы
    1. Да можно конечно, переустановить windows, но, как быть с данными, которые необходимы пользователю?
      Их возможно сохранить, загрузившись с виртуального диска, но использованние данных ресурсов не всегда оправдано.

      Удалить
  10. Я уже несколько раз на заказ снимал такие баннеры)ервый раз сложновато,а потом простенько

    ОтветитьУдалить
  11. Я тоже парочку раз попадал в такой перебор. Намучился и понервничал.

    ОтветитьУдалить
  12. Хорошо, если в этом соображаешь. Я так же, переустановил бы винду и махнул бы на всё рукой. Что упало, - то пропало. Но, иногда, это болесно воспринимается. Особенно, если восстанавливать ключи вебмани или заново проходить всю ихнюю волокиту. А это забирает так много времени.

    ОтветитьУдалить
  13. баннер "Windows заблокирован"!!!
    В диспетчере задач висит приложение LokoMoTO это Trojan.Winlock.6999 или 6613 (Исполняемый файл вредоносного ПО имеет имя xxx_video.scr, MVbCn7d.exe, MXROH_U_MF.EXE, YWR4ATG.EXE)

    Кодов разблокировки не существует

    Быстро исправляем проблему самостоятельно, в два шага,
    грузимся в "безопасный режим с поддержкой коммандной строки" и выполняем:

    1. команда cleanmgr
    2. команда rstrui

    ОтветитьУдалить
    Ответы
    1. Вы вы мой спаситель!!!!!!!!Вы гений!!!!!!Вы просто чудо!!!!!!! Всего Вам светлого!!!!!!

      Удалить
    2. Все гениальное просто. Хорошо, что баннер вымогатель позволил войти в безопасный режим, на Windows 7 использование команды rstrui (возврата к точке восстановления) один из самых простых и действенных способов разблокировать компьютер.

      Удалить
  14. вопрос такой я сидела в интернете делала уроки вдруг это штуковина появляется я сильно испугаласть перечислила деньги никого кода не пришло комп работает может ли этот придур\ок который придумал этот вирус залзивать в мои документы стоить ли мне переустанавливать програамму и это поможет мне

    ОтветитьУдалить
    Ответы
    1. Обязательно проверьте компьютер антивирусом, троян мог исчезнуть из автозагрузки, но остаться в системе.

      Удалить