Софт-Портал

как отключить винлокер

Рейтинг: 4.7/5.0 (1563 проголосовавших)

Описание

КАК убрать winlocker

Как убрать winlocker Что такое Winlocker?

Winlocker - разновидность вредоносного программного обеспечения, которая блокирует операционную систему пользователя. Естественно, если на компьютер попал этот вирус, он сразу же начинает творить свои дела. Например, после заражения он автоматически прописывает себя в автозагрузке системы, а это значит, что он автоматически запускается вместе с персональным компьютером. После запуска Winlocker ограничивает пользователя буквально во всех действиях с компьютерной мышью и клавиатурой. При этом еще и просит прислать на указанный счет определенную сумму денег, после оплаты которой он якобы автоматически удалится. Разумеется, если пользователь поведется на такую уловку, никакой разблокировки системы не произойдет.

Winlocker в большинстве своем обладает расширением .exe. При этом распространяется он обычно посредством различных электронных сообщений, которые в той или иной мере интересуют пользователя. К такому сообщению прикрепляется вложение, которое может быть либо картинкой, либо видеозаписью (хотя на самом деле это тот же самый Winlocker). Для того чтобы не попасться на уловку, пользователю достаточно быть бдительным и хотя бы взглянуть на расширение того файла, который был прислан ему. Обычно изображения имеют следующее расширение - .jpg. pmg. gif и др. Видеозаписи, в свою очередь - .avi. mp4. flv и т.д. Если расширение файла не соответствует этим расширениям, скорее всего это Winlocker (расширение которого .exe).

Как удалить Winlocker?

Если на ваш персональный компьютер все-таки проникло это вредоносное ПО, сперва следует убрать его из автозагрузки, а уже затем, полностью удалить с ПК. Во-первых, прежде чем приступать к удалению, следует проверить какие функции Winlocker заблокировал. Для этого следует нажать комбинацию горячих клавиш Ctrl + Alt + Delete. Если эти действия ничего не дали, тогда попробуйте запустить программу «Выполнить» с помощью комбинации Win + R и вписать команду regedit.

Стоит отметить, что в большинстве случаев ни одна из этих команд не работает. Тогда следует запустить компьютер в безопасном режиме (после перезагрузки нажать кнопку F8). Далее в командной строке также прописывается команда regedit и запускается редактор реестра. Здесь следует перейти по следующим веткам: HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows / CurrentVersion / Run и HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Run. В этих ветках требуется удалить незнакомые вам программы: hkcmd.exe, igfxtray.exe, igfxpers.exe. Дальше нужно найти параметры Shell и UserInit, в значении которых должно быть прописано explorer.exe и путь к файлу userinit.exe (C:/Windows/system32/ userinit.exe), соответственно.

Обычно вместо одного из этих параметров прописывается путь к вредоносному файлу. Его требуется запомнить, а после того как верные значения будут введены, перейти по этому пути, найти файл и удалить.

Как Отключить Винлокер:

  • скачать
  • скачать
  • Другие статьи, обзоры программ, новости

    Windows заблокирован - вирус винлокер

    Windows заблокирован - вирус винлокер. Как разблокировать без оплаты.

    Для расширения кругозора.

    Первая программа-вымогатель появилась 22 года назад, в декабре 1989 года. Пользователи получили по почте дискеты с программой, предоставляющей информацию о СПИДе. После установки программы система приводилась в неработоспособное состояние, для восстановление которого, с пользователей вымогали денежные средства.

    Первый SMS-блокер был зарегистрирован четыре года назад, 25 октября 2007 года. Вымогатель инсценировал сбой системы (BSOD [Blue Screen Of Dead - синий экран смерти]) и практически полностью блокировал управление операционной системой.

    Почему и как этот троян оказалась на моем компьютере?

    Однозначного ответа на этот вопрос нет, перечислю только наиболее популярные версии:

    • был отключен антивирус;
    • антивирусные базы были неактуальны, отсюда следует следующий пункт
    • антивирус еще "не знает" конкретно эту модификацию трояна в принципе, или в связи с предыдущим пунктом, и поэтому пропустил ее;
    • Вы самостоятельно могли запустить троян под видом какой-либо полезной программы, например, под видом недостающего в системе кодека для воспроизведения видео;
    • эксплоит (компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в ПО и применяемые для проведения атаки на вычислительную систему ) на каком-нибудь избранном сайте "втюхал" Вам его. И не факт, что это был сайт с порнухой, это мог быть, например, сайт о музыке (сайты взламывают и внедряют вредоносный код, который незаметно установит Вам этот баннер).

    Особенности заражения этим видом винлокера.

    Месяцем ранее, я написал статью "Удаление трояна-винлокера (Win32/LockScreen). Завершение сеанса Windows на стадии загрузки личных параметров ", о том, как избавиться от троянов-винлокеров. Однако вскоре, появились комментарии о том, что многим не помогает описанный в статье способ. Все это, а также тот факт, что мне накануне принесли компьютер с подобным "неудаляемым" трояном, который действительно не захотел удаляться описанным в статье способом, все это сподвигло меня написать статью, которую Вы сейчас читаете. Да, это несколько другой, т.с. более "продвинутый" тип трояна, который не убрать с помощью действий описанных в предыдущей статье. В рамках этой статьи, мы устраним данный пробел. Но сначала, коротко рассмотрим деструктивные действия подобных типов троянов. эти знания помогут нам в его удалении.

    1. Файл C:\Windows\System32\userinit.exe переименовывается в 03014D3F.exe . а может быть и вовсе удален. В последнем случае, нужно взять копии файлов с другой машины или. в прочем, об этом будет написано далее по тексту.

    2. На место переименованного или удаленного файла userinit.exe троян размещает свою копию файла. А т.к. userinit.exe всегда грузиться при старте ОС Windows, такие действия обеспечивают ему 99,9% успех в заражении Вашего компьютера.

    3. Кроме этого, троян может подменить следующие файлы:

    C:\Windows\System32\dllcache\taskmgr.exe

    C:\Windows\System32\taskmgr.exe

    4. Но и этого для него недостаточно, он копирует себя в C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

    В C:\Documents and Settings\All Users\Application Data\ возможна еще одна копия этого файла, но уже с другим именем, например, vvvvv6666.exe или yyyy21.exe . или lvFPZ9jtDNX.exe .

    Обратите внимание на все файлы с подобными странными именами (бессмысленный набор цифр и/или букв), с расширением exe. в папке C:\Documents and Settings\All Users\Application Data\

    5. На рабочем столе Вашего профиля возможно появится файл test.exe . который также следует удалить.

    6. Для полного счастья, троян прописывается в реестре:

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon | Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe "

    Кода разблокировки у него нет!

    После активации Trojan.WinLock.3266 и подобных, работа на компьютере станет невозможной, а за оказание услуги возвращения прежней работоспособности ПК с Вас потребуют внесения денежных средств. Однако, в результате Вы не получите ничего, т.к. я подозреваю, что для кнопочки "Разблокировать" вполне возможно забыли написать какую-либо функцию вообще. Зачем "заморачиваться" и писать обработчик для кнопки Разблокировать. если цель "срубить" бабок, а не предоставить пользователю возможность самостоятельно отключить этот баннер.

    Сервисы антивирусных компаний по генерации кодов разблокировки:

    не помогут!

    Тем не менее, данное вредоносное ПО легко удалить с помощью загрузочного диска, получив доступ к реестру неактивной копии Windows и системному диску.

    ВНИМАНИЕ! Не ищите легких путей, "не видитесь на развод", не платите деньги за вымогательство и шантаж, не спонсируйте жуликов. После оплаты услуги, разблокировки Windows Вы не получите!

    План действий:

    • Загрузиться с любого диска LiveCD. Как я уже сказал, подойдет любой диск, который способен предоставить доступ к файлам Windows и умеет работать с реестром неактивной копии Windows.
    • Получив доступ к файлам Windows, удалить следующие файлы:
    • С рабочего стола Вашего профиля test.exe ;
    • из папки Ваш_системный_диск\Windows\system32\userinit.exe ;
    • из папки Documents and Settings\All Users\Application Data\22CC6C32.exe
  • Найти в папке Ваш_системный_диск\Windows\system32\ файл 03014D3F.exe и переименовать его в userinit.exe .
  • Слегка "подшаманить" реестр.
  • Перезагрузиться.
  • Проверить компьютер на вирусы, и целостность системных файлов.
  • Теперь более подробно.

    Искать причину всегда следует с проверки файлов, отвечающих за процесс загрузки операционной системы, а именно, с файла, который ответственен за запуск оболочки Windows.

    Файл userinit.exe является частью операционных систем Windows и именно он отвечает за процесс загрузки ОС. На этот файл возложены задачи восстановления сетевых подключений и запуска оболочки. Процесс является критическим для функционирования операционной системы. Попытки его отключить или удалить приведут к невозможности загрузки ОС. Очень вероятно, что у Вас этот файл поврежден или удален (заменен), также возможно, что были изменены некоторые ключи реестра.

    Обращаю Ваше внимание на то обстоятельство, что данный процесс никогда не виден в диспетчере задач, за исключением нескольких секунд после входа в систему. Присутствие такого процесса в диспетчере задач может означать только одно - компьютер заражен вредоносным ПО.

    Так как данный процесс отвечает за загрузку операционной системы, часто вирусописаки и распространители шпионского ПО скрывают свои программы в этом процессе. Например, злонамеренные файлы могут иметь такое же имя, но быть расположены вне директории %SystemRoot%\System32. Другие злонамеренные программы могут использовать похожее имя файла и т.д.

    Для устранения всех вышеперечисленных проблем нам потребуется диск, представляющий собой урезанную версию Windows XP, которая загружается с CD. Например, Windows PE Russian Live CD (11.11.2009) (торрент, 1.39 Гб). использование любого другого диска не возбраняется, важно, чтобы он предоставлял доступ к файлам Windows и умел работать с реестром неактивной копии Windows, содержал программу ERD Commander или подобную. Я буду описывать всю процедуру "лечения", на примере вышеназванной версии LiveCD. Скачал ее давным-давно и меня она пока всем устраивает. Советую держать подобные диски всегда под рукой!

    1. Запишите скаченный образ на диск (можно на CD-R/RW или DVD-R/RW) любой удобной Вам программой. Формат диска выбирается в зависимости от размера файла-образа. Я записываю iso-образы на диски при помощи программы CDBurnerXP. классная программа, ничего лишнего и пишет без ошибок. Имейте ввиду, что если Вы просто скопируете файл образа на диск, то он не загрузится )

    Посредством кнопки Browse. указываете ISO-образ для записи. Из раскрывающегося списка Конечное устройство. выбираете куда писать (по умолчанию привод DVD). Нажимаете кнопку Записать диск .

    Понятно, что сделать это нужно заранее, иначе потом будет поздно. На своем компьютере Вы, после активации трояна, записать ничего не сможете и придется просить друзей-знакомых. Поэтому запишите диск сейчас и держите его рядом!

    2. В BIOS выбираете загрузку с CD-ROM и загружаете систему с Вашего LiveCD.

    Существуют различные версии BIOS с различной организацией меню. Чтобы войти в BIOS нужно после включения компьютера нажать Del. F2. F8. F10. F6 или Ins. После входа в BIOS нужно найти раздел под названием Boot Device Priority или созвучный, или, как у меня на скриншотах ниже и выбрать первичным устройством оптический привод (или USB-устройство), с которого Вы планируете загружаться. После выбора нужно выйти, сохранив внесенные изменения, как правило, клавишей F10. F11. или выбрав пункт меню Save & Exit Setup или, что-то типа того.

    Приведу пример подобной настройки для Award BIOS на одном из своих компьютеров.

    Сразу после включения компьютера, Вам подскажут какую кнопку нужно нажать для того, чтобы попасть в BIOS Setup. Однако, прочитать и нажать требуемую кнопку нужно быстро, иначе придется повторно перезагружаться.

    DEL: BIOS Setup

    Настроили таким образом, что в первую очередь, загрузочная запись "ищется" на CDROM, при ее отсутствии, на флешке, а при отсутствии и там, и там, на HDD.

    По клавише Esс выходим в предыдущее меню, оно же главное, и выбираем пункт Save & Exit Setup или нажимаем клавишу F10 .

    3. После сохранения настроек BIOS, компьютер приступает к перезагрузке, а Вы незамедлительно вставляете диск в дисковод. Если появится сообщение вида: If you want to boot from CD, press any key. нажмите любую клавишу на клавиатуре. В противном случае Вы не увидите загрузочное меню Вашего диска, а загрузка продолжится с жесткого диска, т.е. загрузится зараженная ОС. Загружайте ОС с диска.

    4. Загрузившись с диска, открывайте Мой компьютер и на диске, где у Вас находится зараженная трояном ОС (вероятнее всего, что это диск "C"), откройте папку Documents and settings (если у Вас заражена Windows XP) или Users (если Vista или Windows 7). В открытой папке найдите и откройте папку Вашего профиля (ее название совпадает с именем пользователя, под которым Вы работаете в ОС), дальше откройте папку Рабочий стол (Desktop) и удалите из нее файл test.exe .

    После удаления вернитесь в корень текущего диска, откройте папку Windows и перейдите в папку system32. где найдите и удалите файл userinit.exe .

    Не меняя папки найдите файл 03014D3F.exe и переименуйте его название в userinit.exe .

    Вернитесь в папку с профилями (Documents and settings (если XP) или Users (для Vista/7)) и войти в папку All Users. В ней Application Data и удалите файл под названием 22CC6C32.exe .

    Вирус удален! Остается подчистить следы его пребывания в ОС.

    5. Откройте ПУСК -> Система -> ERD Commander -> ErdRoot

    6. Укажите папку с установленной ("зараженной") Windows и нажмите ОК.

    На картинке выше можно увидеть, что на доверенном мне компьютере, ОС установлена на диск "D", это скорее исключение из правил, обычно она ставится на "С".

    7. Возвращаемся за редактором реестра, для этого открываем ПУСК -> Система -> ERD Commander -> RegEdit . Т.е. после выполнения предыдущего шага у Вас будет уверенность в том, что мы не будем править реестр LiveCD, а будем править именно реестр "испорченной" ОС. Если бы мы сразу запустили RegEdit, то занялись бы тем, что правили реестр LiveCD и ни к чему бы это действие нас не привело :)

    8. Получив доступ к реестру Windows, переходим к ветке реестра

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. переходим на правую панель редактора реестра и проверяем следющие ключи: Shell и Userinit .

    Должно быть так (стандартные значения):

    Userinit = C:\Windows\system32\userinit.exe,

    UIHost = logonui.exe

    Shell = explorer.exe

    VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl"

    Подробнее о стандартных значениях:

    Shell = explorer.exe . если у Вас написано что-то другое, то это означает, что у Вас подменен проводник Windows.

    Userinit = C:\Windows\system32\userinit.exe, этот ключ определяет программы (перечислены через запятую), которые Winlogon запускает, когда пользователь входит в систему. По умолчанию, Winlogon запускает файл userinit.exe, который в свою очередь стартует logon-скрипты, устанавливает сетевые подключения, а затем запускает explorer.exe, т.е. пользовательский интерфейс Windows.

    Прописав путь к какой-нибудь программе ДО userinit.exe, можно запустить ее прежде, чем стартует интерфейс Windows Explorer, а, прописав путь ПОСЛЕ, – обозначить старт конкретного приложения сразу после появление пользовательского интерфейса. Блокеры очень часто изменяют этот ключ, дописывая путь до своего исполняемого файла:

    Userinit = %systemfolder%\userinet.exe, [путь до исполняемого файла блокера]

    Обратите внимание, что последнее время создатели вирусов скрывают свои творения под названиями "правильных" программ, так в ключе Shell может находиться Explorеr.exe, у которого в названии одна буква "е" - на русской раскладке или в ключе Userinit запускается userinit.exe, также содержащий русскую букву. Однако, это уже совсем другие файлы! Поэтому наберите эти строки с клавиатуры самостоятельно.

    9. Исправьте значения ключей Shell и Userinit на стандартные значения приведенные выше.

    Если параметры Shell и Userinit не изменены, тогда найдите раздел

    HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options и раскройте его. Если в нем присутствует подраздел explorer.exe. удалите его.

    10. Внимаем советам из комментариев к предыдущей статье:

    Комментарий добавил(а): Sam

    Удалите ключ userinit.exe из

    HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options

    и все заработает

    Комментарий добавил(а): Spike

    Спасибо Sam. У меня этот способ сработал. Вот, что у меня там было:

    [HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-userinit.exe]

    "Debugger"="C:\WINDOWS\empas.exe"

    Комментарий добавил(а): Женька укроп

    Удалите этот раздел (если существует):

    HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-userinit.exe

    Благодарствую за проявленную активность!

    11. Идем в C:\WINDOWS\system32\ и смотрим время изменения файлов userinit.exe. Winlogon.exe и taskmgr.exe. После чего, проверяем файл explorer.exe в каталоге C:\WINDOWS. В случае изменения файлов, заменяем их оригиналами с рабочих компьютеров (можно взять с установочного диска Windows).

    Если какого-то файла нет, попробуйте запустить обычный поиск по Вашему диску, если найдете эти файлы то скопируйте их в соответствующие директории. Если не нашли, тогда возьмите их с другой такой же копии ОС. Если не ошибаюсь, то файл userinit.exe можно также найти в папке C:\Windows\system32\dllcache\ .

    Можно воспользоваться установочным диском:

    expand X:\i386\userinit.ex_ C:\WINDOWS\system32\userinit.exe

    где Х - буква CD установочного диска, а операционная система, предположительно, находится на диске C.

    12. Перезагружаемся.

    По идее, Windows должен быть разблокирован, вирус удален, а финансы сохранены. Тем не менее, советую проверить систему свежим антивирусом, например, одноразовым Касперским, Dr.Web'ом или NOD'ом. На этом я заканчиваю свое повествование. Всем Удачи!

    Постскриптум. После излечения Вашего компьютера от подобных вирусов, может получиться так, что зараженными остались еще какие-нибудь системные файлы. Как правило, антивирус их удаляет или отправляет на карантин. Чтобы их восстановить, нажмите кнопку ПУСК -> Выполнить. наберите sfc /scannow и нажмите ОК. В приводе должен находиться установочный диск с соответствующей ОС (в случае чего, с этого диска будут скопированы оригинальные системный файлы).

    Источник: pcservice24.ru

    Винлокер в безопасном режиме, Пермь

    Винлокер в безопасном режиме
    • Группа: Донатор
    • Сообщений: 4 803

    BaLaMuTt (27.04.2013 - 00:43) писал :

    • Группа: Пользователи
    • Сообщений: 3 406

    Один раз я просто позвонил в техподдержку агрегатора (смс на короткий номер). Техподдержка спросила, чего просит и куда. Потом сообщила код - ввёл код. Потом убил гадость.

    Винлокеров существует большое множество и к каждому, по сути, требуется индивидуальный подход. Рассмотрим некоторые способы их удаления.

    1. Если у Вас появился винлокер, первое, что нужно сделать – это проверить, может ли компьютер загружаться в безопасном режиме. Если да, то решение проблемы очевидно – следует просто воспользоваться функцией восстановления системы. Это не только удалит временные папки, где обычно и «сидят» сами винлокеры, но и восстановит изменённые ветки системного реестра, позволив Вам без ущерба восстановить все функции системы.

    2. Можно попробовать запустить командную строку сочетанием клавиш Windows+R. Далее, в командной строке просто указывается путь к исполняемому файлу антивируса. Или удаляем папку в документах пользователя Local settings/Temporary Internet File

    3. Ещё есть способ, похожий на предыдущий, только вызывается центр специальных возможностей. Для этого нажимаем сочетание Windows+U и выбираем экранную лупу. На экране её запуска есть ссылка на сайт Microsoft, при нажатии на которую, вызывается браузер. В поле ввода адреса можно прописать путь к антивирусу на локальном компьютере или найти и удалить сам винлокер.

    Чем хуже, тем лучше!

    Убиваем винлокер своими руками

    Убиваем винлокер своими руками.

    В последнее время винлокеры стали еще более распространенным явлением. Раньше можно было воспользоваться сервисами от лабораторий Касперского или Доктора Веб, но сейчас генерация ключей потеряла прежнюю оперативность из-за частого обновления винлокеров и смены механизмов вымогательства. Так же, как ранее, не всегда возможно лечение через безопасный режим, т.к. файл винлокера записывается в автозагрузку вместо оболочки, explorer.exe:

    То есть при загрузке как в обычном, так и в безопасном режиме вместо штатной оболочки explorer.exe загружается вирус.

    Как нам вылечиться? Для того чтобы вылечиться, нужно запустить систему в режиме: "Безопасный режим с поддержкой коммандной строки"

    Для доступа к меню режима запуска следует зажать F8 после перезагрузки компьютера.

    После запуска в выбранном режиме нас встретит коммандная строка.

    Вводим explorer.exe и получаем доступ к проводнику.

    Теперь можно действовать несколькими способами:

    1) Вручную просмотреть все области на диске, типичные для хранения файла вируса. C:\

    C:\Documents and Settings\Имя пользователя\

    C:\Documents and Settings\Имя пользователя\Application Data 2) Вручную через редактор реестра найти несвойственные или подозрительные параметры автозапуска и исправить их HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 3) используя стороннюю утилиту отредактировать автозагрузку. Я использовал autoruns от Sysinternals

    Четкой методики или списка действий я пока представить не могу, т.к. у различных представителей семейства этих троянцев бывают разные уловки, такие как блокировка редактора реестра и прочие.

    В любом случае при работе таким способом лучше иметь иметь под рукой несколько утилит, которые на крайний случай можно скачать у соседа, и принести на флешке:
    • Autoruns, о котором я уже сказал
    • Anvir Task Manager
    • Universal Virus Sniffer

    С помощью этих программ так же возможно создание отчета-образа автозагрузки, который можно передать специалистам для анализа.

    Добавлено через 9 минут

    Напомню, что лучше будет все таки обратиться за помощью в соответствующую тему. дабы не угробить систему самостоятельным лечением окончательно.

    Как разблокировать windows, удалить winlocker

    Как разблокировать windows, удалить winlocker

    Принцип работы блокировщика системы или как разблокировать windows :

    При посещении сомнительных сайтов может скачаться программка под названием winlocker и запуститься. Так же вы сами можете ее скачать незнаючи и запустить. Всегда при скачивании обращайте внимание на расширение скачиваемого файла.

    Винлокеры обычно имеют расширение .exe. Допустим вам предлагают скачать видео или картинку, но скачивается не видео файл (с расширением .avi; .flv; .mp4) и не файл картинок (.jpg; .png; .gif), а файл с расширением .exe — расширение исполнимого файла. Это есть программка, которая начинает сразу работать и делать свои нехорошие дела. Во первых она прописывает себя в автозагрузке, чтобы запускаться сразу после включения компьютера. После того как запустится, она ограничивает все другие действия, которые можно выполнять при помощи мыши или клавиатуры. Ну и конечно же просит оплатить некоторую сумму для разблокировки windows. Конечно если вы оплатите, то вам не придет никакой пароль для разблокировки системы. Поэтому, чтобы разблокировать windows. нужно убрать winlocker из автозагрузки, а потом просто удалить его вообще. Как это сделать рассказано ниже.

    Если всё же ваш компьютер заразился этим вирусом, можно попытаться разблокировать windows и удалить winlocker ( винлокер )  самостоятельно. Надо узнать все ли функции операционной системы windows он заблокировал или нет.

    1. Нажать комбинацию клавиш, которая открывает диспетчер задач. ( ctrl + alt + del ), завершить ненужные задачи.

    2. Можно попробовать запустить меню «выполнить» сочетанием клавиш Win + R. Выполнить команду regedit, если открылся редактор реестра, то читаем дальше.

    3. Если первые два варианта заблокированы, то запускаем систему в безопасном режиме. (при загрузке нажимаем F-8)

    Выбираем безопасный режим с поддержкой командной строки. При запуске компьютера в безопасном режиме не запускаются никакие программы, которые прописаны в автозагрузке и запускаются автоматически.

    Если заблокированы все функции Windows. то вам сюда .

    Теперь нам надо в командной строке прописать команду regedit, чтобы запустить редактор реестра.

    Редактор реестра

    Далее переходим по веткам системного реестра, отвечающие за автозагрузку:

    1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run

    2. HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run

    Убираем ненужные и незнакомые программы, которые автоматически загружаются.

    Эти программы (если есть), убирать не нужно:

    В параметре Shell должно быть прописано explorer.exe

    В параметре Shell должно быть прописано explorer.exe

    В параметре Userinit должнен быть прописан путь к файлу userinit.exe

    В моем случае ( I\ Windows\ system32\ userinit. exe, )

    Если у вас система установлена на диск С, то значение будет ( C\ Windows\ system32\ userinit.exe, ) (ставится запятая после .exe)

    Если в этих параметрах стоит другое значение, то запоминаем или записываем его ( это есть путь к самому винлокеру, он прячется по этому адресу. )

    Меняем значения на такие, которые должны быть.

    Мы только удалили автозапуск вируса. Теперь, чтобы разблокировать windows, нужно удалить сам винлокер ( winlocker ) .

    Но если его не найдете, то можете и не удалять, он все равно не запустится уже при загрузке системы.

    Для этого закрываем редактор реестра, в командной строке вводим команду explorer.exe Откроется проводник.

    Идём по пути, записанным вами ранее (тот путь, который был записан вместо верных значений), находим и удаляем винлокер ( winlocker ).

    Но вирус может прописаться в скрытых системных папках и файлах. Для этого нужно разблокировать доступ к скрытым файлам и папкам в проводнике:

    Для Windows7:

    В проводнике — упорядочить / параметры папок и поиска / вид / показывать скрытые файлы, папки и диски.

    Показывать скрытые файлы, папки и диски в Windows 7

    Для Windows Xp:

    В проводнике — меню / Сервис / Свойства папки / Вид, в появившемся окне удалить галочку напротив скрывать защищённые системные файлы,

    Показывать скрытые файлы, папки и диски в Windows Xp

    Чтобы полностью разблокировать windows. идём по пути, записанным вами ранее (который был записан вместо верных значений — вместо userinit.exe или explorer.exe), находим и удаляем винлокер ( winlocker ).

    После перезагрузки компьютера проблема исчезнет.

    Чтоб таких проблем больше не было, рекомендую установить StartupMonitor

    Если своими силами разблокировать windows не удается, то вам следует обратится в сервис, где вам обязательно помогут.

    Как удалить winlock

    Настройка ПО компьютеров и ноутбуков Как удалить winlock

    Можно попытаться разблокировать windows и

    удалить winlocker ( винлокер ) самостоятельно.

    Надо узнать все ли функции операционной системы windows он заблокировал или нет.

    1. Нажать комбинацию клавиш, которая открывает диспетчер задач. ( ctrl + alt + del ), завершить ненужные задачи.

    2. Можно попробовать запустить командную строку сочетанием клавиш Win + R. Выполнить команду regedit, если открылся редактор реестра, то читаем дальше.

    3. Если первые два варианта заблокированы, то запускаем систему в безопасном режиме. (при загрузке нажимаем F-8)

    Выбираем безопасный режим с поддержкой командной строки. При запуске компьютера в безопасном режиме не запускаются никакие

    программы, которые прописаны в автозагрузке и запускаются автоматически.

    Теперь нам надо в командной строке прописать команду regedit, чтобы запустить редактор реестра.

    Далее переходим по веткам системного реестра, отвечающие за автозагрузку:

    1. HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun

    2. HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun

    Убираем ненужные и незнакомые программы, которые автоматически загружаются.

    Эти программы (если есть), убирать не нужно:

    C:WindowsSystem32hkcmd.exe

    C:WindowsSystem32igfxtray.exe

    C:WindowsSystem32igfxpers.exe

    3. HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrentVersionWinlogon

    В этом разделе реестра также содержатся значения параметров,

    отвечающих за автозапуск различных приложений при входе пользователя в систему:

    Нам нужны параметр Shell и Userinit.

    В параметре Shell должно быть прописано explorer.exe

    В параметре Userinit должнен быть прописан путь к файлу userinit.exe

    Если у вас система установлена на диск С, то значение будет ( C Windows system32 userinit.exe, )(ставится запятая после .exe)

    Если в этих параметрах стоит другое значение, то запоминаем или записываем его ( это есть путь к самому винлокеру, он прячется по этому адресу. )

    Меняем значения на такие, которые должны быть.

    Таким способом мы только удалили автозапуск вируса.

    Теперь, чтобы разблокировать windows, нужно удалить сам винлокер ( winlocker ).

    Но если его не найдете, то можете и не удалять, он все равно не запустится уже при загрузке системы)))))))

    Но можем попробовать найти Для этого закрываем редактор реестра, в командной строке вводим команду explorer.exe Откроется проводник.

    Идём по пути, записанным вами ранее (тот путь, который был записан вместо верных значений), находим и удаляем винлокер ( winlocker ).

    Но вирус может прописаться в скрытых системных папках и файлах. Для этого нужно разблокировать доступ к скрытым файлам и папкам в проводнике

    В проводнике — упорядочить / параметры папок и поиска / вид / показывать скрытые файлы, папки и диски.

    идём по пути, записанным вами ранее (который был записан вместо верных значений — вместо userinit.exe или explorer.exe),

    находим и удаляем винлокер ( winlocker ).

    После перезагрузки компьютера проблема исчезнет))))))))))

    ВНИМАНИЕ Если все функции windows заблокированы, то чтобы разблокировать Windows,

    вам потребуется Загрузочная флешка ИЛИ ДИСК LiveCD Windows

    С помощью нее вы можете запустить систему прям с флешки ИЛИ ДИСКА разблокировать свою windows,

    удалив вредоносный файл и прописав верные значения в реестр.

    Как удалить WinLocker (Баннер рабочего стола

    Инструкции по удалению блокировщика Windows (Удаление Winlocker)

    Однажды ваш компьютер или ноутбук загрузился, но увидели Вы не совсем то, что хотели бы видеть. Вместо привычного рабочего стола, загрузилась непонятная картинка, которая пишет, что Windows заблокирован и требует отправить SMS, неизвестно кому, на короткий номер или пополнить счет абонента. Это наши старые знакомые WinLockers.

    В наши дни вирусописатели идут на всевозможные приемы и уловки, что бы незаконно получить от пользователей ПК деньги, ограничивая функционал компьютера. Эти вирусные программы постоянно модифицируются. Их создатели пытаются обойти любую антивирусную защиту, а так же ограничивают возможности специалистов, которые борятся с вирусами. Полет мысли этих вирусописателей не знает границ, в связи с чем мы будем со временем получать все новые и новые модифицированные штаммы этих вирусов. А так же средства борьбы с ними будут требоваться более новые, в то время как старые не будут оказавать на них воздействия.

    Если ваш компьютер заблокирован, не паникуйте, не нервничайте - все в порядке, все ваши данные целы, все программы будут работать, все встанет на свои места, просто немного терпения.

    Не платите деньги злоумышленникам. Отправляя SMS и оплачивая счет через терминал, вы обогощаете их, стимулируете на новые подвиги по вирусописанию, т. е. на создание новых и новых модификаций вируса. В будущем это может бумерангом негативно отразиться на Вашей же информационной среде и информационной среде миллионов других людей.

    Отправляя СМС, Вы не получаете никакой гарантии, что код из ответного СМС уберёт баннер. Если вы положите деньги на требуемый номер через терминал, однозначно это не поможет.

    Помните. Пока вирусописатели получают от нас деньги, - они будут писать и модифицировать эти вирусы, что бы получать от нас денег еще и еще. А если мы все наотрез откажемся им платить? Что тогда? То их работе - "грош цена". В этом случае мы победим глобальную эпидемию вируса Winloker'а.

    Баннеры или Winlocker's - троянские программы которые полностью блокируют все функции ОС компьютера, кроме курсора мышки. Многие люди впадают в панику, переживая за информацию. Часто при подобных инцидентах пользователи и, что самое прискорбное, иногда и IT специалисты переустанавливают ОС на зараженном компьютере. Это не правильно. Как сделать правильно читайте далее.

    ========================================================

    ========================================================

    Ни в коем случае не суйте в зараженный компьютер флешки и внешние жесткие диски. Это не поможет в лечении, но есть большая вероятность переноса вируса на съемный носитель и далее на здоровые, незараженные компьютеры. Если умудрились сунуть съемный носитель в зараженный компьютер, 50/50 что вирус туда уже записался. Значит не суем эти носители в рабочие компьютеры.

    ========================================================

    ========================================================

    Для написания инструкции попытался найти троянца. Пол-часа поисков дали результаты и вирус был скачан прямо на рабочий стол компьютера. А затем запущен двойным кликом мыши.

    1. Качаем ERD Commander вот отсюда. (файл erd65.iso)

    2. Записываем образ с помощью программы записи.Ashampoo Burning Studio или UltraISO подойдут (пользовался второй) " Записать CD/DVD из образа диска". Пишем именно так, а иначе ничего не выйдет. Записали ОК.

    3. На заблокированном компьютере, ноутбуке заходим в BIOS (на всех ноутбуках и материнках AsRock - F2, на всем остальном Del). Устанавливаем в BIOS'е приоритет загрузки с оптического диска. Загрузка начнется с оптического привода, начнет загружаться ERD Commander.

    Второй вариант загрузки с оптического привода, нажать при включении F12 или F8 (зависит от материнской платы), в появившемся Boot menu выбрать Internal Optical Drive. Загрузили ERD Commander OK.

    (см рисунки ниже.)

    После начальной загрузки ERD Commander может вывести окно с запросом выбрать операционную систему. Надо выбрать ту, которая установлена на компьютере.

    4. Запускаем Diagnostic and Recovery Toolset

    Нам понадобятся Редактор реестра ERD и Проводник

    Запускаем редактор реестра и идем по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon, выделяем Winlogon, в окне справа ищем параметр Shell. Нашли ОК.

    5.Смотрим значение Shell. Значением будет путь к вирусному файлу и имя самого файла. Внимательно, скурпулезно переписываем на бумажку. Записали ОК.

    6. Редактор реестра не закрываем пока, а только сворачиваем, открываем проводник ERDC. По выписанному на бумажку адресу, находим вирусное тело. Удаляем его (выделяем, DEL, Enter). Можно сохранить, конечно, для отправки на анализы Касперскому или Вебу, только необходимо поменять расширение файла, например дописать ему в название txt, jpg, avi, doc ну или что в голову придет. При изменённом расширении файла зверь не опасен. Удалили ОК.

    ==========================================

    Внимание. Если Вы решили не удалять, а изменить расширение файла вируса, то не стоит потом его возвращать на EXE. Зверь снова станет опасен. Данный подопытный экземпляр, начинает свою работу автоматически при перезагрузке системы. Снова получим баннер..))

    7. Снова обращаем взгляды на реестр. Изменяем параметр Shell с текущего на explorer.exe. Не забываем, на всякий случай, глянуть параметр Userinit, он должен выглядеть так: C:\Windows\system32\userinit.exe, если параметр какой-то другой, изменяем на правильный. Все изменили ОК.

    8. Перезагружаем компьютер, загружаем ОСЬ, радуемся, визжим от удовольствия. ))

    Кстати, совсем забыл. У нас ведь диспетчер задач, тоже пока не работает, злое тело его отключило и на Alt + Ctrl + Del вы получите сообщение, что диспетчер задач отключен администратором. Но мы сейчас разберёмся, кто тут администратор! Запускаем regedit, следуем по пути: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, находим параметр DisableTaskMgr, именяем его значение с "1" на "0". Проверяем, нажимая Alt + Ctrl + Del. Вот теперь уж точно радуемся, визжим от удовольствия. ))

    Иногда вместо диспетчера задач при нажатии Alt + Ctrl + Del загружается калькулятор, это, конечно прикольно, но иногда диспетчер задач может пригодиться. Запускаем редактор реестра идем по пути:

    HKEY_LOCAL_MACHINE \SOFTWARE\ Microsoft \WindowsNT \CurrentVersion \ImageFile Execution Options \taskmgr.exe

    сносим taskmgr.exe полностью. И никаких калькуляторов, только диспетчер задач. Кстати, вместо диспетчера вирус может не только калькулятор подсунуть, но и любую другую программу, но решение проблемы то же самое))

    Статья не моя. Просто помогла очень и не раз. Решил поделиться со всеми. Не пользуйтесь сомнительными прогами, которые сами все удаляют. Этот способ реально работает и я сам лично на 3 машинах удалил блокировшики! Всем удачи в борьбе!