Kao odgovor na kratku bilješku , sa opisom malog programa - ransomhide, koji pomaže pri odabiru SMS koda za odgovor otključavanje prozora sa trojanski winlock, Sistemi za pretragu su počeli da ga prikazuju i za zahteve u vezi sa poznatom kompanijom Dr.Web.

Većina FAQ, odgovori na koje korisnici koji su zarazili ovu virusnu infekciju na svom računaru žele pronaći, zvuče otprilike ovako:

• dr web winlock stranica
• otključaj windows trojanac winlock doctor web..
• winlock tretman - može li DrWeb otključati računar...
• gdje pronaći besplatni unlocker od trojanskog winlocka
• itd...

Postoji problem. Postoji mnogo načina za rješavanje ovog problema. Ali, ako osoba tjera takve zahtjeve u pretragu, onda je daleko od "kul administratora", normalan život a porodične stvari su mu interesantnije od grmlja matične knjige i dekodiranja nekakvih kolačića.

Ponovno instaliranje sistema - prijeti gubitkom porodičnih fotografija, a ponekad i dokumenata.
- Sigurnosna kopija, arhiva sistema - da, ne, nekako ruke nisu stigle, sad je već ..
- Preuzmi sa disk za spašavanje ili u " siguran način"- skup nerazumljivih zvukova ..
- Itd.

U principu, problemi nastaju normalno obični ljudi, nije se "vrtio u glavi" o kompjuterima i metodama njegovog tretmana. I shodno tome, potrebni su mu isti jednostavni i razumljivi načini za "liječenje računala od trojanskog winlocka".

DrWeb i otključavanje Windows Trojan winlock

Najlakši način da "pokažete figuricu" iznuđivačima je korištenje proširenih internetskih baza podataka poznatih antivirusne kompanije, a vrlo je vjerovatno da je ključ koji vam je potreban već tu:

1. Mobilna verzija Dr.Web web stranice Omogućava vam da se povežete na uslugu čak i sa mobilnog telefona:

2. Besplatan deblokator sms ransomwarea sa Dr.Web-a:

3. Deblocker - trojanski winlock deblokator od Kaspersky:

4. ESET-ov besplatni tretman winlock-a:

5. Otključajte windows trojanski winlock na Vrusinfo servisu:

Kako doći do trojanskog koda za otključavanje koristeći ove usluge:

Da biste dobili kod za otključavanje računara, potrebno je da unesete podatke:

• u polju" Telefonski broj» Odredite broj na koji se predlaže slanje SMS ( Najčešći brojevi danas: 8353, 9691, 5121, 3649, 5373, 7122, 4125, 4460).
• u polju" Tekst poruke» Navedite tekst koji se predlaže za slanje na ovaj broj.
• Pritisnemo dugme " da dobijem kod».

Stranica će prikazati kod za otključavanje, koji trebate unijeti u prozor Trojan.

Dr.Web mobile - preuzmi kod:

Kompanija 27. januara Dr. Web pokrenut mobilna verzija servis otključavanja prozora različite modifikacije trojanski winlock Usluga koja Vam omogućava korištenje besplatno otključavanje preko vašeg mobilni telefon. Ovo je posebno korisno za one koji su blokirali pristup web stranicama antivirusnih kompanija.

Za dobar primjer jednostavnost dobijanja "antikoda", dat ću dva snimka ekrana:

Ovo je prozor koji ćete vidjeti, nema ničeg drugog na stranici. Nakon što ste ispravno popunili sva polja, kao što je gore opisano, kliknite na dugme sa strelicama.

Za nekoliko sekundi dobit ćemo cijeli "list" mogućih kodova za otključavanje.

Sretno i neka vaši računari uvijek budu brzi i čisti windows trojanski winlock!

Ne možete pristupiti našoj web stranici? Najvjerovatnije je razlog u SpIDer Gate-u - modulu Dr.Web antivirusnog programa sigurnosni prostor. Ovaj modul je najviše zajednički uzrok problemi vezani za korištenje naših resursa: Info-DVD izdavačke kuće, Infoclub platforme itd. (vidi puna lista Cybersant-Media grupa)

Blokiranje se vrši na osnovu ulaska na takozvanu listu „nepreporučenih stranica“. Prema Doktor Webu, ovu listu dizajniran da zaštiti korisnike od potencijalno opasnih, zaraženih itd. web stranice.

S jedne strane, dobro je što se toliko vodi računa o korisnicima, ali, s druge strane, u stvari, ispada da se na ovu listu nalaze i sasvim normalne stranice. To se dešava zbog apsolutno neprozirne i dvosmislene politike zasnovane na subjektivno mišljenje Dr.Web i kritična nesavršenost njegovih softverskih algoritama. Kako vam se sviđa ova formulacija razloga za blokiranje: prema tvrdnjama kompanije, stranica se bavi “pogrešnim aktivnostima”, ili šalje pisma, ili obučava u “neprikladnom formatu”?

Nisu neuobičajene situacije u kojima je, na osnovu neke sumnje u vezi sa određenom lokacijom, blokiran pristup svim drugim stranicama koje koriste, na primjer, istu uslugu ili platformu ( mailing service, hosting, itd.). Odnosno, sve stranice sa normalnim sadržajem mogu lako ući na listu "nepoželjnih" ako su na istom serveru sa "lošom" lokacijom (ista IP adresa).

Osim toga, Dr.Web (tačnije, SpiDer Gate) može blokirati mogućnost pretplate na bilten ili vam ne dozvoliti da pratite linkove iz pisma do normalnog sajta.

Razlog je to što Doctor Web smatra da je masovno slanje pisama nepoželjno, posebno iz nekih servisa. mailing liste!

Dr. Web odlučuje umjesto vas da li ćete pratiti linkove u pismu, čiji ste prijem sami naručili prijavom na mailing listu. Posebno je neugodno ako link sadrži korisne informacije.

Istovremeno, antivirus ne blokira sve servise mailing liste, već samo „favorite“, bez ikakvog objektivnog opravdanja.

Ovakvi problemi su se javljali iznova i iznova. jedan od primjera.

DrWebova politika je takva da je normalan dijalog o rješenjima ovih problema jednostavno nemoguć, a traženje pravde u pravnom polju je mučan i ne uvijek opravdan zadatak ( primjer).

Želite li i dalje koristiti Dr.Web usluge? Ako ne, preporučujemo prelazak na neki adekvatniji i kvalitetnu uslugu kao što je Kaspersky antivirus. Ako želite i dalje vjerovati u “kvalitet” Dr.Web algoritama, ali ponekad želite izvršiti prilagođavanja, tada ćete morati ukloniti zabranu posjećivanja sajtova koji nisu preporučeni u antivirusnim postavkama SpiDer Gate Weba ili dodati željenu lokaciju na listi izuzetaka.

Proces konfiguracije je detaljno opisan u relevantnim odjeljcima Dr.Web pomoći, kao i u online dokumentaciji na web stranici Doctor Web na sljedećoj adresi:

Lista naših glavnih domena koje treba dodati izuzecima:

cybersant-media.ru

infoclub.info

e.infoclub.info

IN U poslednje vreme računari su počeli da se zaraze takozvanim ransomware virusom (Trojan.Winlock), za otključavanje kojeg se predlaže poslati plaćeni sms. U ovom članku ćete naučiti kako se možete riješiti ovog virusa potpuno besplatno. U situacijama kada se antivirusne stranice ne otvaraju, preuzmite i pokrenite ovaj uslužni program.

1 način. Za slučaj kada se Windows pokrene i na ekranu se pojavi baner.

Najlakši način da se riješite virusa na radnoj površini je da odete na web stranicu antivirusnog programera softvera Kaspersky Lab i koristite obrazac da dobijete ključ za otključavanje. Sličnu operaciju možete obaviti odlaskom na web stranicu Doctor Web. Nakon što baner nestane sa radne površine, provjerite ima li virusa na računaru.

1. Idite na web stranicu kompanije Kaspersky Lab ili Doctor Web. i koristite ključ za otključavanje.

2 i sljedeće metode, za slučajeve kada KLJUČ ZA OTKLJUČAVANJE NE ODGOVARA.

Ako se baner pojavi na radnoj površini kada uključite računar, koristite besplatni uslužni program za liječenje virusa CureIt - Download, ili Kaspersky uslužni program Virus Alat za uklanjanje Preuzmite Ovi uslužni programi za liječenje mogu se pokrenuti čak i ako već imate instaliran drugi antivirus na vašem računalu.

Preuzmite i pokrenite Uslužni program CureIt- Preuzmite , ili Kaspersky Virus Preuzimanje alata za uklanjanje

3 way. Za slučaj kada se Windows neće pokrenuti.

Ako kada uključite računar, umjesto učitavanja operativni sistem Na ekranu monitora se pojavljuje ponuda da se rastanete sa nekoliko stotina rubalja, pokrenite računar u sigurnom režimu. Da biste to uradili, ponovo pokrenite računar i stalno pritiskajte taster "F8" na tastaturi. Nakon nekoliko sekundi, od vas će biti zatraženo da odaberete opciju pokretanja sustava Windows. Odaberite "Safe Mode with Boot" mrežni drajveri Zatim se riješite virusa na jedan od gore opisanih načina.

1. Pokrenite u sigurnom načinu rada
2. Izbrišite pomoću ključa sa jedne od lokacija kompanije Kaspersky Lab ili Doctor Web.
3. Za ponovno pokretanje računara.
4. Provjerite ima li na svom računaru virusa.

4 way. Za slučaj kada se Windows ne pokreće u sigurnom načinu rada.

U situaciji kada trebate ukloniti baner sa radne površine, a operativni sistem se ne pokreće ni u normalnom ni u sigurnom načinu rada, najbolja opcija ili će biti drugi kućni računar, ili komšijin računar. Ako ih ima, radimo sve kao u "prvom ili drugom metodu" Takođe, neće biti loše ako imate LiveCD preuzeti LiveCD sa Dr.Web-a, dizanjem sa kojeg možete provjeriti vaš računar na viruse. Gotovo sve antivirusni programi od najnovija ažuriranja tretirajte računar sa banera na radnoj površini.

1. Unesite ključ za otključavanje koristeći drugi računar, ili pokretanjem sa LiveCD-a preuzmite LiveCD sa Dr.Web-a, preuzmite LiveCD sa Kaspersky Lab-a.
2. Provjerite ima li na svom računaru virusa.

5 načina za uklanjanje banera.

Za Windows 7: nakon klika Win ključeve+ U kliknite na link "Pomoć s postavkama postavki" - "Izjava o privatnosti". Zatim idite na korak 5

1. Nakon pokretanja računara, pritisnite dugme za prečice na tastaturi sa ikona prozora+ U
2. Odaberite tastatura na ekranu i kliknite na "Pokreni".
3. Kliknite na "Pomoć" - "O"
4. U prozoru koji se pojavljuje na dnu odaberite "Microsoft Web Site"
5. U polje za adresu prepišite http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
6. Pojavit će se prozor za spremanje fajla, sačuvajte ga na radnoj površini.
7. U pretraživaču kliknite na vrh "File" - "Open" - "Browse".
8. Kliknite na "Desktop" na lijevoj strani. Na samom dnu "Vrsta datoteke" - "Svi fajlovi"
9. Pronađite preuzeti program i pokrenite ga.
10. Odaberite potpuno skeniranje.

6 načina za uklanjanje banera.

Ako se baner pojavi prije nego što se radna površina učita, ekran je zaključan.

1. Pritisnite Ctrl+Shift+Esc i držite dok upravitelj zadataka ne počne da treperi.
2. Bez otpuštanja tipki Ctrl + Shift + Esc, kliknite mišem na upravitelja zadataka " Ukloni zadatak".
3. U upravitelju zadataka kliknite na " novi zadatak"i unesite" regedit"
4. Idite na HKEY_LOCAL_MACHINE /SOFTWARE/MicrosoftWindows NT/CurrentVersion/Winlogon
5. Idi desni panel Registry Editor i provjerite dvije opcije “ Shell" i " userinit". Vrijednost parametra Shell mora biti " Explorer.exe".Userinit parametar - " C:\WINDOWS\system32\userinit.exe" (bez razmaka, uvijek zarez na kraju)!
6. Ako su postavke “Shell” i “Userinit” u redu, pronađite HKEY_LOCAL_MACHINE /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Opcije za izvršavanje datoteke slike i proširite ga. Ako sadrži potključ explorer.exe, izbrišite ga (Kliknite desni klik miš => Izbriši).
7. Ponovo pokrenite računar.
8. Obavezno provjerite računar na viruse.

Ako ne uspijete, ponovite ovu metodu u sigurnom načinu rada.

Ako vam nijedna od gore navedenih metoda nije pomogla, možete kontaktirati našu kompaniju putem

Ako se na ekranu vašeg monitora jednog lijepog dana pojavi natpis " Windows zaključan! " (Windows muški?), a razlozi blokiranja su banalni i moguće su opisani u samom prozoru za blokiranje virusa Trojan.Winlock - "Nezakonit pristup materijalima zaraženog sadržaja..." itd. pogledajte snimak ekrana Winlock prozora.

Pri pogledu na ovu sreću, korisnik, koji je u stanju prije šoka, postepeno ima pitanje - , pa cak i bez placanja, pa cak i da ova govna ne obrise ovu... pa uopste, i sami znate sta Windows, "pravila rada"čiji je prekršio ( Da li je neko video ova pravila?).

Čitanje: uključeno "provjerite da li ćete naći... kod", gdje to tražiti? Možda je ovo poreski broj (TIN) ove IP adrese ( rad u velikim razmjerima!) ili je sam terminal dionica, ili je možda zlikovac-iznuđivač i virus u jednom terminalu koji ispisuje aktivacijske brojeve za svakog nesretnog korisnika za 1000 rubalja .

I zadnja rečenica: Pokušaj reinstaliranja sistema će uzrokovati kvar vašeg računara!“, potpuno i nepovratno ubija sve nade u bijeg od virusa, gdje može biti više prekršaja u sistemu, ako ovdje i sada nema baš ničega? i tamo, pa opet?

No, hrabrimo se i vratimo se tekstu blokatora koji je našeg korisnika doveo u stresno stanje.

ove " akcije“, radije se odnosi na autora virusa Trojan.Winlock, a ne jadnom korisniku, koji već u predinfarktnom stanju puzi do terminala sa novčanicom od hiljadu dolara u rukama, nadajući se da će otključati kompjuter.

A na osnovu presude pisca virusa, prekršio je i: licenca za rad softvera cela korporacija! Kompletan program kršenja svega i svačega, što znači da je vrijeme za kupovinu oprosta.

Ovaj zastrašujući tekst u izlogu, verovatno napisan za svaki slučaj, da srećniku zaključanog kompjutera ne padne u glavu da se žali nadležnima, jer za kontradikcije UK RF, tu se sigurno neće tapšati po glavi!

- U suprotnosti sa UK?! Poremećen rad?- onda odgovori, takav i takav, prema kompletan program, ispred svih Ruska Federacija i volumen Ruski krivični zakonik preko glave pa sljedeći put dosljedan.

Ispostavilo se da postoji i neka vrsta tajnog sporazuma " za rad softvera" između Microsoft i ... od nekog?, za koje zna samo dobronamjerni autor ( želi dobro ovo nije prljava riječ!) štiteći interese male, siromašne i nezaštićene strane korporacije smještene negdje u inostranstvu- okiyanom.

Potpuna grafomanija, ako uplašiti, trebalo je uplašiti stvarno, ozbiljno, kao:

ružičasti zečić, u obliku dugonoge djevojke sa lažnim zečijim ušima, pokazuje erotski striptiz na radnoj površini vašeg kompjutera i stidljivo nudi neviđenu promociju ( samo danas i sada!) besplatno otključavanje računara za kupovinu gotovinski račun u najbližem terminalu u iznosu od 1000 rubalja,
za 2000 rub - besplatna aktivacija 2 kompjutera,
i za 3000 rubalja. skini se gola besplatno samo vi, pa čak i na desktopu, vaš lični računar!

Super! U suprotnom, postoji nešto za platiti napuniti broj, a ako se broj ne dopuni? odjednom je broj već pun, ...nekakva glupost. Da, ali gdje daju popuste?, gdje su konačno bonusi?

Kako besplatno otključati Windows od Trojan.Winlock ransomware virusa?.

Pažnja. Za cool stručnjake koji ne žele čitati kako otključati Windows, dajemo najlakši način za uklanjanje virusa- izbrisati sve particije diska, reformatirajte čvrsti disk i dobićete skoro 100% garanciju uništenja neprijatelja, osim naravno disk za pokretanje nije zaraženo, ali se može izbjeći formatiranje na niskom nivou ako čip nije zaražen itd. dok ne stignemo do kineskog proizvođača.

Evo slike ekrana monitora sa prozorom virusa Trojan.WinlockTrojan.

Najlakši način da otključate svoj favorit Windows je besplatno i jednostavno, je da odete na web stranicu online antivirusnog servisa Dr. Web, koristeći bilo koji još uvijek živi računar sa pristupom Internetu, u krajnjem slučaju, pozovite prijatelja.

Na stranici za programere antivirusa Dr. Web u prozoru: " Usluga otključavanja računara, unesite broj ovaj slučaj broj telefona iz teksta ransomwarea, virusa za blokiranje: " dopuniti MTS pretplatnički broj: 79874498961".

Kao što razumijete, ovdje je sve stvarno i Trojan.Winlock virus, i pretplatnik 79874498961 , koji je pravi kriminalac sa stvarnim podacima, adresom i podacima o pasošu, jer bezgotovinskog novca uvijek ima konkretnu adresu, čak i ako je pasoš lažan i brojevi telefona se kupuju na veliko.

Da, i web stranice (domene su registrirane u Rusiji i plaćene prema podacima iz pasoša) koje to distribuiraju zlonamjernog koda ne skrivaju se i ne skrivaju po ćoškovima, ali su veoma cijenjeni od pretraživača i oduševljavaju korisnike interneta takvim i takvim čipovima

Nisu svi vlasnici virusnih stranica bijesni štetočini, mnoge web stranice su jednostavno hakovane i zaražene virusima. Da, i u novije vrijeme, moramo odati počast, sistem pretraživanja Yandex upozorava korisnika na zaražene stranice.

Snimak ekrana Dr.Web - "Usluga otključavanja računara"

Nakon što unesete brojeve iznuđivača, pritisnite dugme "kodovi za pretraživanje" a ako budete imali sreće, potrebnu ćemo dobiti besplatno kod za otključavanje dugotrpljiv Windows.

Ali unutra ovog trenutka, razočaranje, ne mogu brzo dobiti kod od online antivirusnog servisa Dr. Web i riješite se prozora virusa ransomware s njegovim glupim natpisima apokalipse.

I antivirusni servis Dr. Web predlaže da ode u sljedeći korak - odredite naziv virusa sa slike.

Pratimo primljeni link i na prvoj stranici antivirusnog servisa Dr.web, pronaći potpuno istu sliku prozora virusa blokade Trojan.Winlock sa relevantnim sadržajem ( sadržaj na svim slikama je skoro isti, oseća se ruka "pesnika".).

Pored identificiranog snimka, na antivirusnoj web stranici Dr. Web, nalazi se kolona aktivacijskih kodova iz koje biramo potrebne brojeve za unos na zaključanom računaru.

Slučajni odabir kodova za otključavanje nije riješio problem.

Zatim, monotono i po redu, počinjemo unositi i provjeravati brojeve za aktivaciju.

Vrlo je nezgodno pomicati kursor preko dugmadi u prozoru zaključanog računara, čiji su pokreti ograničeni virusni program. Ali u petom ili šestom pokušaju, virus je progutao brojke i pojavio se dugo očekivani desktop Windowsa, iscrpljen neradom.

Aha! ( ili ukucajte: wow, ljuta paprika)

Bach! i opet isto smiješna slika preklapanja otvoreni prozori na radnoj površini.

Kopka visi na motki, počni ispočetka.

Nema želje da se bavimo nabrajanjem, unosimo iste brojeve, virus nije pohlepan, otključao je pristup.

Čeka se, možda još nešto otchubuchit. Ne, tiho je, smirio se. Nema raznolikosti. Dosada, neka vrsta poštenog virusa, ne po konceptu.

Ali ako je opcija gotovi kodovi otključati Windows nije radio ili vas to jednostavno ne zanima, onda servis Dr. Web nudi korištenje besplatnih diskova za pokretanje (morate preuzeti sliku diska i snimiti je): Dr. Web live CD ili Dr.Web LiveUSB, na bazi linux.

Nakon pokretanja sa odabranog medija, možete skenirati svoj računar besplatnim antivirusnim programom Dr. Web.

Photo bootloader meni Dr. Web live CD

Uz pomoć stalno ažuriranog antivirusna baza podataka Dr. Web na online servisu možete besplatno provjeriti ima li virusa pojedinačni fajlovi i veze do web stranica, i za sve popularni pretraživači postoji i poseban antivirusni dodatak Dr.Web LinkChecker

Ako niste pronašli kod za otključavanje, ne očajavajte, postoje alternativni programi za otključavanje i mogućnost besplatnog slanja koda stručnjacima sa Dr.Web stranice

To je sve, izreka je gotova i bajka počinje.

Za čišćenje i uklanjanje preostalih virusa koristimo sljedeći opći algoritam:

Zadnju tačku od gore navedenog praktično ne radi niko od stručnjaka, to je preskupo, dugotrajno i potrebno je specifično znanje o konfiguraciji i administriranju Windows-a.
- I nikad ne znate šta ste i sami ranije radili? Popravite to, a zatim slušajte komplimente.

Otključajte Windows pomoću drugih besplatnih antivirusnih usluga na mreži.

Kaspersky Lab

Kaspersky Lab, Deblocker stranica: "Uklonite baner sa radne površine, otključavanje prozora":
online usluga

Kaspersky Lab, stranica:" Kaspersky WindowsUnlocker anti-ransomware uslužni program",
ovdje su sve informacije o radu sa Windows Unlocker a možete i preuzeti specijalna verzija slika Kaspersky Rescue Disk (CD disk) ili Kaspersky USB Rescue Disk (USB uređaj) za kompjuterski tretman:
Veze ka antivirusnim programima, pogledajte na dnu stranice na support.kaspersky.ru

ESET LLC (NOD32 antivirus)

Kompanija ESET, LLC (NOD32 Antivirus), Windows otključavanje- online usluga

ESET Online Scanner, stranica za skeniranje na mreži ESET antivirus NOD32 - Online skener

Besplatni disk za pokretanje LiveCD ESET NOD32 za vraćanje operativnog sistema - LiveCD

Kaspersky Lab i VirusInfo

Joint besplatna online usluga Kaspersky Lab i portal VirusInfo.

Stranica usluge deaktivacije ransomware blokatora - virusinfo.info

Evo ovako kratkog algoritma, ali za to treba vremena.... Dakle, prisjetimo se divnih stihova Korney Chukovsky:

"Mala djeco! Bez razloga na svijetu Ne idite u Afriku, idite u šetnju Afrikom! U Africi, ajkule, U Africi, gorile, U Africi, veliki Zli krokodili Ugrizaće vas, Tući i uvrijediti, - Uradite ne idite, djeco, idite u šetnju po Africi U Africi pljačkaš, u Africi zlikovac, u Africi strašni Bar-ma-lei!

Osnova psihologije stvaranja malware(čitaj viruse, trojance itd.) je jednostavno: prvo natjerati korisnika da pritisne dugme i zarazi kompjuter, zatim zastraši korisnika, a onda riješi problem za novac.

Borba protiv trojanaca iz WinLock i MbrLock porodica

(blokatori za Windows)

Relevantnost problema

Od septembra 2009. Trojanci koji blokiraju Windows među najčešćim su po učestalosti ispoljavanja. Na primjer, u decembru 2010. godine, više od 40% otkrivenih virusa bili su Windows blokatori. Uobičajeni naziv za takve zlonamjerne programe je Trojan.Winlock.XXX, gdje je XXX broj dodijeljen potpisu koji vam omogućava da identifikujete nekoliko (često nekoliko stotina) sličnih virusa. Takođe, takvi programi mogu biti tipa Trojan.Inject ili Trojan.Siggen, ali se to dešava mnogo rjeđe.

Eksterno, trojanac može biti dva glavna tipa. Prvo: početni ekran preko celog ekrana koji skriva radnu površinu, drugi: mali prozor u sredini. Druga opcija ne pokriva ekran u potpunosti, ali baner to ipak onemogućava koristan rad sa PC-a jer uvijek ostaje iznad svih drugih prozora.

Evo klasičnog primjera izgleda Trojan.Winlock programa:

Svrha Trojanca je jednostavna: dobiti više novca za pisce virusa od žrtava virusnog napada.

Naš zadatak je da naučimo kako da brzo i bez gubitaka eliminišemo sve transparente, a da ne platimo ništa napadačima. Nakon otklanjanja kvara, morate napisati izjavu policiji i obezbijediti zaposlene sprovođenje zakona sve informacije koje znate.

Pažnja! U tekstovima mnogih blokatora postoje razne prijetnje („imate još 2 sata“, „ostalo je 10 pokušaja unosa koda“, „ako ponovno instaliranje windowsa svi podaci će biti uništeni” itd.). U osnovi, to nije ništa drugo do blef.

Algoritam akcija za borbu protiv Trojan.Winlock

Postoji mnogo modifikacija blokatora, ali broj poznatih instanci je vrlo velik. U tom smislu, tretman zaraženog računara može trajati nekoliko minuta u blažem slučaju i nekoliko sati ako modifikacija još nije poznata. Ali u svakoj situaciji, trebali biste se pridržavati algoritma u nastavku:

1. Odabir koda za otključavanje.

Kodovi za otključavanje mnogih Trojanaca su već poznati i uneseni u posebnu bazu podataka koju su kreirali stručnjaci Doctor Weba. Za korištenje baze podataka slijedite linkhttps://www.drweb.com/xperf/unlocker/ i pokušajte pronaći kod. Upute za rad sa bazom za otključavanje: http :// support. drweb. com/show_faq? qid=46452743&lng=ru

Prije svega pokušajte dobiti kod za otključavanje koristeći formular koji vam omogućava da unesete tekst poruke i broj na koji treba biti poslana. Obratite pažnju na sljedeća pravila:

Ako trebate prenijeti novac na račun ili broj telefona, na terenu Broj morate navesti broj računa ili telefonski broj, u polju Tekst ne morate ništa da pišete.

Ako želite da prebacite novac na broj telefona, u polju Broj morate navesti broj telefona u formatu 8xxxxxxxxxx, čak i ako baner sadrži broj bez broja 8.

Ako želite da pošaljete poruku na kratak broj, u polju Broj unesite broj

u polju Tekst- Tekst poruke.

Ako se generirani kodovi ne uklapaju - pokušajte otkriti naziv virusa koristeći priložene slike. Ispod svake slike blokatora navedeno je njegovo ime. Nakon što ste pronašli željeni baner, zapamtite naziv virusa i odaberite ga s popisa poznatih blokatora. Navedite naziv virusa koji je zarazio vaš PC u padajućoj listi i kopirajte primljeni kod u liniju banera.

Napominjemo da se, osim koda, mogu izdati i druge informacije:

Win+D za otključavanje - pritisnite kombinaciju tastera Windows+D za otključavanje.

bilo kojih 7 simbola - unesite bilo kojih 7 znakova.

Koristite generator iznad ili koristite generator iznad- koristite obrazac da dobijete kod za otključavanje Broj-tekst na desnoj strani prozora.

Koristite formular ili Molimo koristite formular- koristite obrazac da dobijete kod za otključavanje Broj-tekst na desnoj strani prozora.

Ako ništa nije pronađeno

2. Ako je sistem djelimično blokiran. Ovaj korak se odnosi na slučajeve kada baner "visi" na sredini ekrana, a da ga ne zauzima u potpunosti. Ako je pristup potpuno blokiran, idite direktno na korak 3. Upravitelj zadataka je blokiran na isti način kao i verzije Trojanca na cijelom ekranu, odnosno nemoguće je prekinuti zlonamjerni proces na konvencionalne načine.

Koristeći ostatke hrane slobodan prostor na ekranu uradite sledeće:

1) Provjerite svoj PC s najnovijom verzijom Dr.Web CureIta! http://www.freedrweb.com/cureit/. Ako je virus uspješno uklonjen, slučaj se može smatrati završenim, ako ništa nije pronađeno, idite na korak 4.
2) Preuzmite uslužni program za popravku Dr.Web Trojan.Plastix sa http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe i pokrenite preuzetu datoteku. U prozoru programa kliknite Nastavi, a kada Plastixfix završi, ponovo pokrenite računar.
3) Pokušajte instalirati i pokrenuti program Process Explorer(možete preuzeti sa stranice
Microsoft: http://technet.microsoft.com/en-us/sysinternals/bb896653). Ako je lansiranje bilo uspješno -
pritisnite dugme sa slikom nišana u prozoru programa mišem i, ne puštajući ga,
zadržite pokazivač iznad banera. Kada pustite dugme, Process Explorer će pokazati proces
koji je odgovoran za rad banera.

3. Ako uopće nema pristupa. Obično blokeri potpuno zatrpaju ekran banerom, što onemogućava pokretanje bilo kojeg programa, uključujući Dr.Web CureIt! U tom slučaju pokrenite sistem sa Dr.Web LiveCD-a ili Dr.Web LiveUSB http://www.freedrweb.com/livecd/ i skenirajte svoj računar na viruse. Nakon provjere, pokrenite računar sa tvrdi disk i provjerite da li je problem riješen. Ako ne, idi do koraka 4.

4. Ručna pretraga virus. Ako ste došli do ove tačke, onda Trojanac koji je pogodio sistem je novitet i morat ćete ga tražiti ručno.

Da biste ručno uklonili blokator, potrebno je da pristupite Windows registru tako što ćete pokrenuti sistem sa spoljnog medija.
Obično se blokator pokreće na jedan od dva poznata načina.

Kroz automatsko učitavanje u granama registra
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Zamjenom sistemskih datoteka (jedan ili više) pokrenutih u grani HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ili, na primjer, datoteku taskmgr.exe.

Za rad nam je potreban Dr.Web LiveCD/USB (ili drugi alati za rad sa eksternim registrom).

Za rad sa Dr.Web LiveCD/USB, pokrenite računar sa CD-a ili fleš diska, a zatim kopirajte na memorijska kartica sljedeće datoteke:

C:\Windows\System32\config\software*fajl nema ekstenziju*
C:\Document and Settings\vaše_korisničko ime\ntuser.dat

Ove datoteke sadrže sistemski registar zaražena mašina. obrađujući ih u regedit program, možemo očistiti registar od efekata aktivnosti virusa i istovremeno pronaći sumnjive datoteke.

Sada transfer specificirane datoteke na funkcionalan Windows PC i uradite sljedeće:

Trči regedit, otvori žbun HKEY_LOCAL_MACHINE i uradi Fajl –> Učitaj košnicu.
U prozoru koji se otvori navedite putanju do datoteke softvera, navedite naziv (na primjer, današnji datum) za odjeljak i kliknite na OK.

U ovoj košnici morate provjeriti sljedeće grane:
Microsoft\Windows NT\CurrentVersion\Winlogon:
Parametar Shell treba da bude jednaka Explorer.exe. Ako su neki drugi fajlovi navedeni, morate zapisati njihova imena i pune putanje do njih. Zatim uklonite sve nepotrebno i postavite vrijednost Explorer.exe.

Parametar userinit treba da bude jednaka C:\Windows\system32\userinit.exe(tačno, sa zarezom na kraju, gdje je C ime sistemski disk). Ako su fajlovi navedeni iza zareza, potrebno je zapisati njihova imena i izbrisati sve što je navedeno iza prvog zareza.
Postoje situacije kada postoji slična grana s imenom Microsoft\WindowsNT\CurrentVersion\winlogon. Ako ova grana postoji, mora se ukloniti.

Microsoft\Windows\CurrentVersion\Run- grana sadrži postavke za startup objekte.

Posebnu pažnju treba obratiti na prisustvo objekata koji ispunjavaju sljedeće kriterije:

Imena podsjećaju sistemski procesi, ali programi se pokreću iz drugih foldera
(na primjer, C:\Documents and Settings\Dima\svchost.exe).

Imena poput vip-porno-1923.avi.exe.

Aplikacije koje se pokreću iz privremenih foldera.

Nepoznate aplikacije počevši od sistemske fascikle(na primjer, C:\Windows\system32\install.exe).

Imena su sastavljena od nasumičnih kombinacija slova i brojeva
(na primjer, C:\Documents and Settings\Dima\094238387764\094238387764.exe).

Ako su sumnjivi objekti prisutni, njihova imena i putanje moraju biti snimljeni, a unosi koji im odgovaraju uklonjeni iz automatskog učitavanja.

Microsoft\Windows\CurrentVersion\RunOnce- takođe grana startupa, mora se analizirati na sličan način.

Nakon završetka analize, kliknite na naziv preuzete sekcije (u našem slučaju je imenovan po datumu) i izvršite Datoteka –> Unload Hive.

Sada moramo raščlaniti drugi fajl - NTUSER.DAT. Trči regedit, otvori žbun HKEY_LOCAL_MACHINE i uradi Datoteka –> Učitaj košnicu. U prozoru koji se otvori navedite putanju do datoteke NTUSER.DAT, imenujte odjeljak i kliknite na OK.

Ovdje su grane od interesa. Software\Microsoft\Windows\CurrentVersion\Run I Software\Microsoft\Windows\CurrentVersion\RunOnce, specificirajući startup objekte.

Potrebno ih je analizirati na prisustvo sumnjivih predmeta, kao što je gore navedeno.

Također obratite pažnju na parametar Shell u grani Softver\Microsoft\Windows NT\CurrentVesion\Winlogon. Mora da je važno Explorer.exe. U isto vrijeme, ako takve grane uopće nema, sve je u redu.
Nakon završetka analize, kliknite na naziv preuzete sekcije (u našem slučaju je imenovan po datumu) i izvršite Datoteka –> Unload Hive.

Nakon što ste dobili ispravljeni registar i listu sumnjivih datoteka, morate učiniti sljedeće:

Sačuvajte registar pogođenog računara u slučaju da nešto pođe po zlu.

Prenesite ispravljene datoteke registratora u odgovarajuće fascikle na zahvaćenom računaru koristeći Dr.Web LiveCD/USB (kopija sa zamenom datoteke). Datoteke, informacije o kojima ste snimili tokom rada - sačuvajte na USB fleš disku i izbrišite ih iz sistema. Njihove kopije se moraju poslati u laboratoriju za viruse Doctor Weba na analizu.

Pokušajte da pokrenete zaraženu mašinu sa čvrstog diska. Ako je preuzimanje uspješno
uspješno i nema banera - problem je riješen. Ako trojanac još uvijek radi,
ponovite sve tačka 4 ovog odjeljka, ali uz detaljniju analizu svih ranjivih i često korištenih mjesta u sistemu.

Pažnja! Ako se računar ne pokrene nakon tretmana sa Dr.Web LiveCD/USB
(počinje da se ponovo pokreće ciklično, pojavljuje se BSOD), morate učiniti sljedeće:

Uvjerite se da postoji jedna datoteka u config folderu softvera. Problem se može pojaviti jer na Unix sistemima imena datoteka razlikuju velika i mala slova (tj. Softver I softvera- različita imena, a ove datoteke mogu biti u istom folderu) i ispravljeni fajl softvera može se dodati u folder bez prepisivanja starog. At Windows boot, u kojem velika i mala slova ne igraju ulogu, dolazi do sukoba i OS se ne pokreće. Ako postoje dva fajla, izbrišite stariju.

Ako softvera jedan, a preuzimanje ne dolazi, postoji velika vjerovatnoća da je na sistem utjecala "posebna" modifikacija winlock. Prijavljuje se u poslovnici HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, u parametar Shell i prepisuje datoteku userinit.exe. Original userinit.exe pohranjeni u istom folderu, ali pod drugim imenom (najčešće 03014d3f.exe). Uklonite zaražene userinit.exe i u skladu s tim preimenujte 03014d3f.exe (ime se može razlikovati, ali ga je lako pronaći).
Ove radnje se moraju izvršiti dizanjem sa Dr.Web LiveCD/USB-a, a zatim pokušajem pokretanja sa tvrdog diska.

U kojoj god fazi bitka s Trojancem završi, morate se zaštititi
sličnih problema u budućnosti. Instaliraj antivirusni paket Dr.Web i redovno
ažurirati baze podataka o virusima.