Удаляем Winlock и MBRlock вручную или как разблокировать Windows

Тема в разделе "Компьютеры, программы и Интернет", создана пользователем NoName, 7 мар 2014.

  1. NoName

    NoName bootiful man

    Регистрация:
    31 дек 2010
    Сообщения:
    2.358
    Адрес:
    где-то рядом
    В последнее время большое распространение получили так называемые вредоносные программы, которые "берутся из ниоткуда" и "блокируют Windows". Официальное название такого ПО - Trojan.Winlock.n, который к настоящему времени насчитывает несколько десятков версий.

    Такого рода программы, проникая на компьютер, после перезагрузки блокируют доступ к рабочему столу Windows. Для разблокировки Windows предлагается отправить СМС, пополнить счет или какого-нибудь аккаунта платежного терминала.

    Ни в коем случае не следует выполнять требования мошенников, так как этими действиями Вы спонсируете написание новых вирусов. Тем более избавиться от этого вируса достаточно просто.

    Как работает Winlock?


    В основе работы любой версии Trojan.Winlock используются штатные средства операционной системы, которыми и организовывается "блокировка Windows".
    Фактически алгоритм действия примерно такой:
    1. Скрипт Trojan.Winlock попадает на ваш компьютер при отключенном брандмауэре Windows 7. Способы попадания используются различные, начиная от клика по "лжебаннеру" и заканчивая установкой вируса самим пользователем, который может находится в "крякнутом" платном ПО. В основном Trojan.Winlock находится во временных директориях используемого браузера.
    2. Скрипт при активации подменят значения системного реестра. Чаще всего подменяется Shell-оболочка, по-умолчанию которой в Windows выступает Explorer. То есть вместо загрузки Explorer`а прописывается загрузка окошка с просьбой-вымогательством. При успешной "активации" это значение заменяется обратно на стандартный Explorer.
    3. После перезагрузки ОС Вы получаете окно с вымогательствами.

    Как разблокировать Windows и удалить Winlock?


    Чтобы избавится от баннера, который блокирует работу вашего компьютера можно воспользоваться:
    1. различными on-line сервисами антивирусных компаний, которые собирают данные, поступившие к ним от пользователей. Это самый простой способ, но "активировать" самые последние версии Trojan.Winlockим не под силу. Вот перечень web-сервисов:Вводите номер телефона вымогателя и получаете фразу разблокировки.
    2. воспользоваться инструментом системного администратора ERD Commander (145 Мб), который является LiveCD с операционной системой Windows, способной редактировать системный реестр установленной ОС.

    Удаляем Winlock с помощью ERD Commander


    Фактически требуется отредактировать 2 параметра системного реестра установленной ОС Windows и очистить временные файлы используемого Вами браузера. В большинстве случаев этих действий хватает для восстановления работы ОС Windows.

    Разблокировка Windows с помощью ERD Commander:


    Загружаемся с LiveCD-диска ERD Commander`а. При загрузке ERD Commander`а появится окно подключения локальной сети.
    erd_1 winlock.png
    Нажимаем Skip, так как сеть нам не понадобится.
    В следующем окне выбираем ОС, с которой будет проводится дальнейшая работа
    erd_2 винлок.png
    и нажать Enter. Это окно нужно на случай, если используется несколько ОС на одном компьютере.

    Удаляем временные файлы ОС и используемого Вами браузера. Для этого воспользуемся ярлыком My Computer. Очистить необходимо директории:​
    • C:\Windows\Temp
    • C:\Documents and Settings\логин\Local Settings\Temporary Internet Files
    • C:\Documents and Settings\логин\Local Settings\Application Data\Opera\Opera\cache
    • C:\Documents and Settings\логин\Local Settings\Application Data\Opera\Opera\cache
    Чистить надо кэши всех установленных в системе браузеров, а не только IE и Оперы.

    Редактируем системный реестр Windows. Запускаем Start > Administrative Tools > Registry Editor:
    Должно получиться так:
    удалено из реестра.png

    Перезагружаем компьютер и для надежности проверяем ОС бесплатным антивирусом, к примеру, этим.
    Работа вируса MBRLock заключается в том, что он меняет загрузочную область MBR и просто прописывается вместо загрузки операционной системы. Пользователь, который включает свой компьютер, чаще всего видит на черном фоне грубый текст с вымогательным контекстом, требующий отправить некоторую сумму либо на мобильный телефон, либо на рублевый счет WebMoney. После оплаты у пользователя якобы на чеке будет код-разблокировки, который после набора просто выполнит стандартную процедуру восстановления MBR-области (если Вы не знаете что такое MBR, то можете ознакомится на Wiki).
    Поэтому этот вирус никак не может выступать в качестве вируса-блокировщика BIOS, так как получить доступ к этой подсистеме можно вне зависимости от его наличия на вашем

    В Интернете можно найти очень много способов для решения этой проблемы, но все они относятся к ней словно "забивать гвозди микроскопом". Никто не утверждает, что с помощью LiveCD с "пиратской" Windows или какого-то другого программного обеспечения, нельзя убрать этот блокировщик. Конечно же можно, но это решение не совсем верное, простое и, самое главное, безопасное.

    Самый универсальный способ избавится от блокировщика Windows - это восстановить главную загрузочную область MBR с помощью любого установочного диска с подобной операционной системой.

    Избавляемся от MBRLock:


    Вставляем загрузочный диск с Windows.
    Нужно использовать диск Windows именно той версии, которая у Вас установлена. То есть, если Вы на своем компьютере используете Windows XP, то именно этот диск и нужно использовать. Вместо CD\DVD-диска с таким же успехом можно использовать загрузочный LiveCD с Windows.

    Запускаем стандартный режим восстановления Windows.
    Дожидаемся "первого окна" установки Windows. На примере ниже представлена стандартная установка Windows XP:
    восстановление.png

    В этом окне просто необходимо нажать на клавишу R и дождаться загрузки режима восстановления Windows.
    Предварительные вопросы режима восстановления.
    При загрузке режима восстановления, установщик Windows "спросит" Вас о том какую ОС будем восстанавливать. Необходимо ввести соответствующую цифру требуемого пункта.
    копия windows.png

    В примере установлена только одна ОС Windows XP. Если у Вас несколько установленных ОС Windows, то количество пунктов может отличаться.
    В некоторых случаях установщик Windows может "спросить" пароль администратора.

    Восстанавливаем boot-область.
    Для операционной системы Windows XP, набираем в консоли восстановления команду:
    Код:
    fixboot
    Далее необходимо подтвердить выбранное действие, набрав y.
    gjlndthlbnm цштдосл.png

    Если требуется восстановить Windows 7, то вместо предыдущего и следующего пунктов необходимо набрать команду:
    Код:
    bootsect /mbr all
    Восстанавливаем загрузочную область MBR.
    Далее запускаем команду:
    Код:
    fixmbr
    и также буквой y подтверждаем свои действия:
    fixmbr.png

    Перезагружаем компьютер.

    Для того, чтобы завершить сеанс восстановления, необходимо в консоли набрать exit.

    Приведенный способ выше является универсальным способом избавления от вируса-вымогателя MBRLock, который позволяет это сделать с минимальными "вложениями" и полностью стандартными средствами Windows.
    Все так, как Гейтс прописал...
    P.S. Если сравнить 2 вируса: Winlock и MBRLock, то получается, что проще поддается "лечению" именно MBRLock - продолжатель Winlock'ера.
     
  2. NoName

    NoName bootiful man

    Регистрация:
    31 дек 2010
    Сообщения:
    2.358
    Адрес:
    где-то рядом
    Для удаления винлокеров можно юзать Alkid live CD или Hiren's boot CD - они вроде позволяют править реестр "покусанной" винды :)
     
  3. Валерко

    Валерко Новичок

    Регистрация:
    7 дек 2013
    Сообщения:
    124
    Чё-то когда-то где-то читал, что для удаления некоторых можно в безопасном режиме войти и чего-то там поудалять
     
  4. NoName

    NoName bootiful man

    Регистрация:
    31 дек 2010
    Сообщения:
    2.358
    Адрес:
    где-то рядом
    Винлокеры не дают загрузиться в SafeMod, если только одни из первых. Впрочем их наверняка уже истребили, да и прибивались они через три кнопки, которые потрясли DOS.
     

Поделиться этой страницей

Теги:

  1. как удалить winlocker при загрузке oc