Kao odgovor na kratku bilješku , s opisom malog programa - otkupnina, što pomaže pri odabiru SMS koda za odgovor otključavanje prozora iz trojanski winlock, Sustavi za pretraživanje počeli su ga prikazivati ​​i za zahtjeve vezane uz poznatu tvrtku Dr.Web.

Najviše Pitanja, odgovori na koje korisnici koji su na svom računalu zarazili virusom žele pronaći, zvuče otprilike ovako:

• dr web winlock stranica
• otključaj Windows trojanac winlock doctor web..
• winlock tretman - može li DrWeb otključati računalo...
• gdje pronaći besplatni unlocker od trojanskog winlocka
• itd...

Imamo problem. Postoji mnogo načina za rješavanje ovog problema. Ali, ako osoba tjera takve zahtjeve u pretragu, onda je daleko od "cool admina", normalan život a obiteljske stvari su mu zanimljivije od grmlja registra i dekodiranja nekakvih kolačića.

Ponovno instaliranje sustava - prijeti gubitkom obiteljskih fotografija, a ponekad i dokumenata.
- Sigurnosna kopija, arhiva sustava - da, ne, nekako ruke nisu stigle, sada je već ..
- Preuzmite s disk za spašavanje ili u " siguran način"- skup nerazumljivih zvukova ..
- Itd.

Općenito, problemi nastaju normalno obični ljudi, nije se "okrenuo u glavi" o računalima i metodama njegovog liječenja. I sukladno tome, trebaju mu isti jednostavni i razumljivi načini "liječiti računalo od trojanskog winlocka".

DrWeb i otključavanje Windows trojanski winlock

Najlakši način da "pokažete figuricu" iznuđivačima je korištenje proširenih internetskih baza podataka poznatih antivirusne tvrtke, a vrlo je vjerojatno da je ključ koji vam je potreban već tamo:

1. Mobilna verzija Dr.Web web stranice Omogućuje vam povezivanje s uslugom čak i s mobilnog telefona:

2. Besplatni deblokator sms ransomwarea s Dr.Weba:

3. Deblocker - trojanski winlock unblocker od Kasperskyja:

4. ESET-ov besplatni tretman winlock-a:

5. Otključajte Windows trojanski winlock na Vrusinfo servisu:

Kako dobiti trojanski kod za otključavanje pomoću ovih usluga:

Da biste dobili kod za otključavanje računala, trebate unijeti podatke:

• U polju" Broj telefona» Odredite broj na koji se predlaže slanje SMS-a ( Najčešći brojevi danas: 8353, 9691, 5121, 3649, 5373, 7122, 4125, 4460).
• U polju" Tekst poruke» Navedite tekst koji se predlaže za slanje na ovaj broj.
• Pritisnemo gumb " da dobijem kod».

Stranica će prikazati kod za otključavanje, koji trebate unijeti u prozor Trojana.

Dr.Web mobile - preuzmi kod:

27. siječnja satnije dr. Web pokrenut mobilna verzija usluga otključavanja prozora različite modifikacije trojanski winlock Usluga koja vam omogućuje korištenje besplatno otključavanje kroz svoje mobilni telefon. To je osobito korisno za one koji su blokirali pristup web stranicama antivirusnih tvrtki.

Za dobar primjer jednostavnost dobivanja "antikoda", dat ću dvije snimke zaslona:

Ovo je prozor koji ćete vidjeti, na stranici nema ništa drugo. Nakon što ste ispravno popunili sva polja, kao što je gore opisano, kliknite na gumb sa strelicama.

Za par sekundi dobit ćemo cijeli "list" mogućih kodova za otključavanje.

Sretno i neka vaša računala uvijek budu brza i čista Windows trojanski winlock!

Ne možete pristupiti našoj web stranici? Najvjerojatnije je razlog u SpIDer Gateu - modulu antivirusnog programa Dr.Web sigurnosni prostor. Ovaj modul je najviše zajednički uzrok problemi vezani uz korištenje naših resursa: Info-DVD izdavačke kuće, Infoclub platforme itd. (vidi cijeli popis Cybersant-Media grupa)

Blokiranje se provodi na temelju ulaska na takozvani popis "nepreporučenih stranica". Prema Doctor Webu, ovaj popis dizajniran za zaštitu korisnika od potencijalno opasnih, zaraženih itd. stranice.

S jedne strane, dobro je što se toliko vodi računa o korisnicima, ali s druge strane, zapravo, ispada da su na ovom popisu i sasvim normalne stranice. To se događa zbog apsolutno neprozirne i dvosmislene politike koja se temelji na subjektivno mišljenje Dr.Web i kritična nesavršenost njegovih softverskih algoritama. Kako vam se sviđa ova formulacija razloga za blokiranje: prema tvrdnjama tvrtke, stranica se bavi “pogrešnim aktivnostima”, ili šalje pisma, ili obučava u “neprikladnom formatu”?

Nisu neuobičajene situacije u kojima je, na temelju neke sumnje u vezi s određenom web-stranicom, blokiran pristup svim drugim stranicama koje koriste, na primjer, istu uslugu ili platformu ( poštanski servis, hosting itd.). Odnosno, sve stranice s normalnim sadržajem mogu lako doći na popis "nepoželjnih" ako su na istom poslužitelju s "lošem" web-mjesto (ista IP adresa).

Osim toga, Dr.Web (točnije, SpiDer Gate) može blokirati mogućnost pretplate na newsletter ili vam ne dopustiti praćenje poveznica iz pisma na normalnu stranicu.

Razlog je u tome što Doctor Web smatra da je masovno slanje pisama nepoželjno, posebice iz nekih servisa. mailing liste!

Dr. Web odlučuje umjesto vas hoćete li slijediti poveznice u pismu, čiji ste primitak sami naručili prijavom na mailing listu. Posebno je neugodno ako poveznica sadrži korisne informacije.

Istodobno, antivirus ne blokira sve usluge mailing liste, već samo „favorite“, bez ikakvog objektivnog opravdanja.

Ovakvi problemi su se javljali uvijek iznova. jedan od primjera.

DrWebova politika je takva da je normalan dijalog o rješenjima ovih problema jednostavno nemoguć, a traženje pravde u pravnom području je problematičan i ne uvijek opravdan zadatak ( primjer).

Želite li i dalje koristiti Dr.Web usluge? Ako ne, preporučamo prijelaz na neki adekvatniji i kvalitetna usluga kao što je antivirusni program Kaspersky. Ako želite i dalje vjerovati u “kvalitetu” algoritama Dr.Web, ali ponekad želite izvršiti prilagodbe, tada ćete morati ukloniti zabranu posjećivanja nepreporučenih stranica u antivirusnim postavkama SpiDer Gate Weba ili dodati željeno mjesto na popisu izuzetaka.

Proces konfiguracije detaljno je opisan u odgovarajućim odjeljcima pomoći Dr.Web, kao i u online dokumentaciji na web stranici Doctor Web na sljedećoj adresi:

Popis naših glavnih domena koje treba dodati iznimkama:

cybersant-media.ru

infoclub.info

e.infoclub.info

U U posljednje vrijeme računala su se počela zaraziti takozvanim ransomware virusom (Trojan.Winlock), za otključavanje kojeg se predlaže poslati plaćeni sms. U ovom članku ćete naučiti kako se možete riješiti ovog virusa apsolutno besplatno. U situacijama kada se antivirusne stranice ne otvaraju, preuzmite i pokrenite ovaj uslužni program.

1 način. Za slučaj kada se Windows pokrene i na ekranu se pojavi natpis.

Najlakši način da se riješite virusa na radnoj površini je da odete na web stranicu antivirusnog programera softver Kaspersky Lab i upotrijebite obrazac da dobijete ključ za otključavanje. Sličnu operaciju možete obaviti odlaskom na web stranicu Doctor Web. Nakon što banner nestane s radne površine, svakako provjerite ima li na računalu viruse.

1. Idite na web stranicu Kaspersky Laba ili Doctor Weba. i upotrijebite ključ za otključavanje.

2 i sljedeće metode, za slučajeve kada KLJUČ ZA OTKLJUČAVANJE NE ODGOVARA.

Ako se banner pojavi na radnoj površini kada uključite računalo, upotrijebite besplatno korištenje za liječenje virusa CureIt - Download, ili Kaspersky uslužni program Virus Alat za uklanjanje Preuzmite Ove uslužne programe za liječenje možete pokrenuti čak i ako već imate instaliran drugi antivirusni program na vašem računalu.

Preuzmite i pokrenite Uslužni program CureIt- Preuzmite , ili Kaspersky virus Preuzimanje alata za uklanjanje

3 način. Za slučaj kada se Windows ne pokreće.

Ako kada uključite računalo, umjesto učitavanja operacijski sustav Na zaslonu monitora pojavljuje se ponuda za odvajanje od nekoliko stotina rubalja, pokrenite računalo u sigurnom načinu rada. Da biste to učinili, ponovno pokrenite računalo i stalno pritisnite tipku "F8" na tipkovnici. Nakon nekoliko sekundi od vas će se tražiti da odaberete opciju pokretanja sustava Windows. Odaberite "Safe Mode with Boot" mrežni upravljački programi". Zatim se riješite virusa na jedan od gore opisanih načina.

1. Pokrenite u sigurnom načinu rada
2. Izbrišite pomoću ključa s jedne od stranica Kaspersky Laba ili Doctor Weba.
3. Za ponovno pokretanje računala.
4. Provjerite ima li na računalu viruse.

4 način. Za slučaj kada se Windows ne pokreće u sigurnom načinu rada.

U situaciji kada trebate ukloniti banner s radne površine, a operativni sustav se ne pokreće ni u normalnom ni u sigurnom načinu rada, najbolja opcija ili će biti drugi kućno računalo, ili susjedovo računalo. Ako ih ima, radimo sve kao u "prvoj ili drugoj metodi" Također, neće biti loše ako imate LiveCD download LiveCD s Dr.Weba, dizanjem s kojeg možete provjeriti vaše računalo na viruse. Gotovo sve antivirusni programi iz najnovija ažuriranja tretirati računalo s natpisa na radnoj površini.

1. Unesite ključ za otključavanje pomoću drugog računala ili dizanjem s LiveCD-a preuzmite LiveCD s Dr.Weba, preuzmite LiveCD iz Kaspersky Laba.
2. Provjerite ima li na računalu viruse.

5 načina za uklanjanje bannera.

Za Windows 7: nakon klika Win ključeve+ U kliknite na vezu "Pomoć s postavkama postavki" - "Izjava o privatnosti". Zatim idite na korak 5

1. Nakon pokretanja računala pritisnite tipku prečaca na tipkovnici sa ikona prozora+ U
2. Odaberi tipkovnica na ekranu i kliknite "Pokreni".
3. Kliknite "Pomoć" - "O"
4. U prozoru koji se pojavi pri dnu odaberite "Microsoft Web Site"
5. U polje za adresu prepišite http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
6. Pojavit će se prozor za spremanje datoteke, spremite na radnu površinu.
7. U pregledniku kliknite na vrh "Datoteka" - "Otvori" - "Pregledaj".
8. Kliknite "Desktop" na lijevoj strani. Na samom dnu "Vrsta datoteke" - "Sve datoteke"
9. Pronađite preuzeti program i pokrenite ga.
10. Odaberite potpuno skeniranje.

6 načina za uklanjanje bannera.

Ako se banner pojavi prije učitavanja radne površine, zaslon je zaključan.

1. Pritisnite Ctrl+Shift+Esc i držite dok upravitelj zadataka ne počne treperiti.
2. Bez otpuštanja tipki Ctrl + Shift + Esc, kliknite mišem na upravitelja zadataka " Ukloni zadatak".
3. U upravitelju zadataka kliknite " novi zadatak"i unesite" regedit"
4. Idite na HKEY_LOCAL_MACHINE /SOFTWARE/MicrosoftWindows NT/CurrentVersion/Winlogon
5. Ići desna ploča Urednik registra i provjerite dvije opcije “ Ljuska"i" userinit". Vrijednost parametra ljuske mora biti " Explorer.exe".Userinit parametar - " C:\WINDOWS\system32\userinit.exe" (bez razmaka, uvijek zarez na kraju)!
6. Ako su postavke "Shell" i "Userinit" u redu, pronađite tipku HKEY_LOCAL_MACHINE /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options i proširite je. Ako sadrži potključ explorer.exe, izbrišite ga (Kliknite desni klik miš => Izbriši).
7. Ponovno pokrenite računalo.
8. Svakako provjerite svoje računalo na viruse.

Ako ne uspijete, ponovite ovu metodu u sigurnom načinu rada.

Ako vam nijedna od gore navedenih metoda nije pomogla, možete kontaktirati našu tvrtku putem

Ako se na ekranu vašeg monitora jednog lijepog dana pojavi natpis " Windows zaključan! " (Windows muški?), a razlozi blokiranja su banalni i eventualno opisani u samom prozoru za blokiranje virusa Trojanac.Winlock - "Ilegalni pristup materijalima okaljanog sadržaja..." itd. pogledajte snimku zaslona Winlock prozora.

Pri pogledu na ovu sreću, korisnik, koji je u stanju prije šoka, postupno ima pitanje - , pa čak i bez plaćanja, pa čak i da ovo blato ne izbriše ovu ... dobro, općenito, i sami znate što Windows, "pravila rada"čiji je prekršio ( Je li netko vidio ova pravila?).

Čitanje: dalje "provjerite naći ćete... kod", gdje to tražiti? Možda je ovo porezni broj (TIN) ovog IP-a ( raditi u velikim razmjerima!) ili je sam terminal dionica, ili je možda zlikovac-iznuđivač i virus u jednom terminalu, koji ispisuje aktivacijske brojeve za svakog nesretnog korisnika za 1000 rubalja .

I zadnja rečenica: Pokušaj ponovne instalacije sustava uzrokovati će kvar vašeg računala!“, potpuno i nepovratno ubija sve nade u bijeg od virusa, gdje može biti više prekršaja u sustavu, ako ovdje i sada nema baš ništa? i tamo, pa opet?

No, hrabrimo se i vratimo se tekstu blokatora koji je našeg korisnika doveo u stresno stanje.

ove " radnje“, radije se odnosi na autora virusa Trojanac.Winlock, a ne jadnom kolegi korisniku koji već u predinfarktnom stanju puzi do terminala s novčanicom od tisuću dolara u rukama u nadi da će otključati računalo.

A na temelju presude pisca virusa prekršio je i: licenca za rad softvera cijela korporacija! Kompletan program kršenja svega i svačega, što znači da je vrijeme za kupnju oprosta.

Ovaj zastrašujući tekst u izlogu, vjerojatno napisan za svaki slučaj, da sretniku zaključanog računala ne padne u glavu da se žali nadležnima, jer za proturječnosti UK RF, tu se sigurno neće pomilovati po glavi!

- U suprotnosti s UK?! Poremećen rad?- onda odgovori, takav i takav, prema cijeli program, ispred svih Ruska Federacija i volumen Ruski kazneni zakon preko glave pa sljedeći put dosljedan.

Ispada da postoji i neka vrsta tajnog sporazuma " za rad softvera" između Microsoft i ... od nekoga?, za koje zna samo dobronamjerni autor ( želi dobro ovo nije prljava riječ!) štiteći interese male, siromašne i nezaštićene strane korporacije smještene negdje u inozemstvu- okiyanom.

Potpuna grafomanija, ako se plašiti, trebalo je uplašiti stvarno, ozbiljno, kao:

ružičasti zeko, u obliku dugonoge djevojke s lažnim zečjim ušima, pokazuje erotski striptiz na radnoj površini vašeg računala i stidljivo nudi neviđenu promociju ( samo danas i sada!) besplatno otključavanje računala za kupnju račun u najbližem terminalu u iznosu od 1000 rubalja,
za 2000 rub - besplatno aktiviranje 2 kompjutera,
i za 3000 rubalja. skini se gola besplatno samo vi, pa čak i na desktopu, vaše osobno računalo!

Super! Inače se ima za što platiti napuniti broj, a ako se broj ne dopuni? odjednom je broj već pun, ... nekakva glupost. Da, ali gdje daju popuste?, gdje su konačno bonusi?

Kako besplatno otključati Windows od Trojan.Winlock ransomware virusa?.

Pažnja. Za cool stručnjake koji ne žele čitati kako otključati Windows, dajemo najlakši način za uklanjanje virusa- izbrisati sve particije diska, ponovno formatirati tvrdi disk i dobit ćete gotovo 100% jamstvo uništenja neprijatelja, osim naravno disk za pokretanje nije zaražen, ali se može izbjeći formatiranje na niskoj razini ako čip nije zaražen itd. dok ne dođemo do kineskog proizvođača.

Ovdje je slika zaslona monitora s prozorom virusa Trojan.WinlockTrojan.

Najlakši način da otključate svoj favorit Windows je besplatno i jednostavno, je otići na web stranicu internetske antivirusne usluge dr. Web, koristeći bilo koje još živo računalo s pristupom Internetu, u krajnjem slučaju, nazovite prijatelja.

Na stranici za programere antivirusnih programa dr. Web u prozoru: " Usluga otključavanja računala, unesite broj ovaj slučaj telefonski broj iz teksta ransomwarea, virusa za blokiranje: " dopuniti MTS pretplatnički broj: 79874498961".

Kao što razumijete, ovdje je sve stvarno i Trojan.Winlock virus, i pretplatnik 79874498961 , koji je pravi kriminalac s pravim podacima, adresom i podacima o putovnici, jer bezgotovinskog novca uvijek ima konkretnu adresu, čak i ako je putovnica lažna i brojevi telefona se kupuju na veliko.

Da, i web stranice (domene su registrirane u Rusiji i plaćene prema podacima putovnice) koje to distribuiraju zlonamjernog koda ne skrivaju se i ne skrivaju u kutovima, ali ih tražilice jako poštuju i oduševljavaju korisnike interneta takvim i takvim čipovima

Nisu svi vlasnici virusnih stranica bijesni štetnici, mnoga web-mjesta jednostavno su hakirana i zaražena virusima. Da, i u posljednje vrijeme, moramo odati počast, sustav pretraživanja Yandex upozorava korisnika na zaražene stranice.

Snimka zaslona Dr.Web - "Usluga otključavanja računala"

Nakon što unesete brojeve iznuđivača, pritisnite tipku "Kodovi za pretraživanje" a ako budeš imao sreće, potrebnu ćemo dobiti besplatno kod za otključavanje dugotrpljiv Windows.

Ali u ovaj trenutak, razočaranje, ne mogu brzo dobiti kod od internetske antivirusne usluge dr. Web i riješite se prozora ransomware virusa s njegovim glupim natpisima apokalipse.

I antivirusni servis dr. Web predlaže da ode u sljedeći korak - odrediti naziv virusa sa slike.

Pratimo primljenu poveznicu i na prvoj stranici antivirusne usluge Dr.web, pronaći potpuno istu sliku prozora virusa blokade Trojanac.Winlock s relevantnim sadržajem ( sadržaj na svim slikama je gotovo isti, osjeća se ruka "pjesnika".).

Pokraj identificirane snimke, na antivirusnoj web stranici dr. Web, nalazi se stupac aktivacijskih kodova iz kojeg biramo potrebne brojeve za unos na zaključanom računalu.

Slučajni odabir kodova za otključavanje nije riješio problem.

Zatim, monotono i redom, počinjemo unositi i provjeravati brojeve za aktivaciju.

Vrlo je nezgodno pomicati kursor preko gumba u prozoru zaključanog računala, čiji su pokreti ograničeni virusni program. No, u petom ili šestom pokušaju virus je progutao brojke i pojavila se dugo očekivana radna površina Windowsa, iscrpljena neradom.

Aha! ( ili tip: wow, ljuta papričica)

Bach! i opet isto smiješna slika preklapanja otvorene prozore na radnoj površini.

Bast visi na stupu, počni ispočetka.

Nema želje da se bavimo nabrajanjem, unosimo iste brojke, virus nije pohlepan, otključao je pristup.

Čekajući, možda nešto drugo otchubuchit. Ne, tiho je, smirio se. Bez raznolikosti. Dosada, neka vrsta poštenog virusa, ne po konceptima.

Ali ako je opcija gotovi kodovi otključati Windows nije radio ili vas to jednostavno ne zanima, onda servis dr. Web nudi korištenje besplatnih diskova za pokretanje (morate preuzeti sliku diska i snimiti je): dr. Web live CD ili Dr.Web LiveUSB, na bazi linux.

Nakon pokretanja s odabranog medija, možete skenirati svoje računalo besplatnim antivirusnim programom dr. Web.

Izbornik programa za pokretanje fotografija dr. Web live CD

Uz pomoć stalno ažuriranog antivirusna baza podataka dr. Web na online servisu možete besplatno provjeriti ima li virusa pojedinačne datoteke i poveznice na web stranice, i za sve popularni preglednici postoji i zaseban antivirusni dodatak Dr.Web LinkChecker

Ako niste pronašli kod za otključavanje, ne očajavajte, postoje alternativni programi za otključavanje i mogućnost besplatnog slanja koda stručnjacima s Dr.Web stranice

To je sve, izreka je gotova i bajka počinje.

Za čišćenje i uklanjanje preostalih virusa koristimo sljedeći opći algoritam:

Posljednju točku iz navedenog praktički ne radi nitko od stručnjaka, to je preskupo, dugotrajno i potrebno je specifično znanje konfiguriranja i administriranja sustava Windows.
- I nikad ne znate što ste i sami prije učinili? Popravite to, a zatim poslušajte komplimente.

Otključajte Windows pomoću drugih besplatnih internetskih antivirusnih usluga.

Kaspersky Lab

Kaspersky Lab, stranica Deblocker: "Ukloni banner s radne površine, otključavanje prozora":
online usluga

Kaspersky Lab, stranica:" Kaspersky WindowsUnlocker uslužni program protiv ransomwarea",
ovdje su sve informacije o radu s Windows Unlocker a možete i preuzeti posebna verzija slika Kaspersky Disk za spašavanje (CD disk) ili Kaspersky USB Rescue Disk (USB uređaj) za računalni tretman:
Veze na antivirusne programe pogledajte pri dnu stranice na support.kaspersky.ru

ESET LLC (NOD32 antivirusni program)

Društvo ESET, LLC (NOD32 Antivirus), Windows Otključavanje- online usluga

ESET Online skener, stranica za online skeniranje ESET antivirusni program NOD32 - Online skener

Besplatni disk za pokretanje LiveCD ESET NOD32 za vraćanje operativnog sustava - LiveCD

Kaspersky Lab i VirusInfo

Zglobni besplatna online usluga Kaspersky Lab i portal VirusInfo.

Stranica usluge deaktivacije Ransomware Blocker - virusinfo.info

Evo ovako kratkog algoritma, ali treba vremena.... Dakle, prisjetimo se divnih stihova Korney Chukovsky:

"Djeco! Bez razloga na svijetu Ne idite u Afriku, idite u šetnju Afrikom! U Africi morski psi, U Africi, gorile, U Africi će vas veliki Zli krokodili ugristi, Tući i uvrijediti, - Učinite ne idite, djeco, Idite u šetnju Afrikom. U Africi razbojnik, u Africi zlikovac, u Africi strašni Bar-ma-lei!

Osnova psihologije stvaranja zlonamjernog softvera(čitaj viruse, trojane itd.) je jednostavno: prvo natjerati korisnika da pritisne tipku i zarazi računalo, zatim zastraši korisnika, a onda riješi problem za novac.

Borba protiv trojanaca iz obitelji WinLock i MbrLock

(blokatori za Windows)

Relevantnost problema

Od rujna 2009. Trojanci koji blokiraju Windows među najčešćim su po učestalosti pojavljivanja. Na primjer, u prosincu 2010. više od 40% otkrivenih virusa bili su Windows blokeri. Uobičajeni naziv za takve zlonamjerne programe je Trojan.Winlock.XXX, gdje je XXX broj dodijeljen potpisu koji vam omogućuje identificiranje nekoliko (često nekoliko stotina) sličnih virusa. Također, takvi programi mogu biti tipa Trojan.Inject ili Trojan.Siggen, ali to se događa mnogo rjeđe.

Izvana, trojanac može biti dva glavna tipa. Prvo: početni zaslon preko cijelog zaslona koji skriva radnu površinu, drugi: mali prozor u sredini. Druga opcija ne pokriva ekran u potpunosti, ali banner to ipak onemogućuje koristan rad s računala jer uvijek ostaje iznad svih drugih prozora.

Evo klasičnog primjera izgleda programa Trojan.Winlock:

Svrha Trojanca je jednostavna: dobiti više novca za pisce virusa od žrtava virusnog napada.

Naš zadatak je naučiti kako brzo i bez gubitaka eliminirati sve transparente, a da ne platimo ništa napadačima. Nakon otklanjanja problema morate napisati izjavu policiji i dati zaposlenike provedba zakona sve informacije koje znate.

Pažnja! U tekstovima mnogih blokatora nalaze se razne prijetnje („imate još 2 sata“, „ostalo je 10 pokušaja unosa koda“, „ako ponovno instaliranje Windowsa svi će podaci biti uništeni” itd.). Uglavnom, nije ništa više od blefa.

Algoritam radnji za borbu protiv Trojan.Winlock

Postoji mnogo modifikacija blokatora, ali broj poznatih instanci je vrlo velik. U tom smislu, liječenje zaraženog PC-a može trajati nekoliko minuta u blagom slučaju i nekoliko sati ako modifikacija još nije poznata. Ali u svakoj situaciji, trebali biste se pridržavati algoritma u nastavku:

1. Odabir koda za otključavanje.

Kodovi za otključavanje mnogih Trojanaca već su poznati i uneseni u posebnu bazu podataka koju su izradili stručnjaci Doctor Weba. Za korištenje baze podataka slijedite poveznicuhttps://www.drweb.com/xperf/unlocker/ i pokušajte pronaći kod. Upute za rad s bazom za otključavanje: http :// podrška. drweb. com/show_faq? qid=46452743&lng=ru

Prije svega pokušajte dobiti kod za otključavanje pomoću obrasca koji vam omogućuje unos teksta poruke i broja na koji je treba poslati. Obratite pažnju na sljedeća pravila:

Ako trebate prenijeti novac na račun ili telefonski broj, u polju Broj morate navesti broj računa ili telefonski broj, u polju Tekst ne trebaš ništa pisati.

Ako želite prenijeti novac na telefonski broj, u polju Broj morate navesti telefonski broj u formatu 8xxxxxxxxxx, čak i ako banner sadrži broj bez broja 8.

Ako želite poslati poruku na kratki broj, u polju Broj unesite broj

u polju Tekst- Tekst poruke.

Ako se generirani kodovi ne uklapaju - pokušajte odgonetnuti naziv virusa pomoću priloženih slika. Ispod svake slike blokatora navedeno je njegovo ime. Nakon što ste pronašli željeni banner, zapamtite naziv virusa i odaberite ga s popisa poznatih blokatora. Na padajućem popisu navedite naziv virusa koji je zarazio vaše računalo i kopirajte primljeni kod u liniju natpisa.

Napominjemo da se osim koda mogu izdati i drugi podaci:

Win+D za otključavanje - pritisnite kombinaciju tipki Windows+D otključati.

bilo kojih 7 simbola - unesite bilo kojih 7 znakova.

Koristite generator iznad ili koristite generator iznad- koristite obrazac za dobivanje koda za otključavanje Broj-tekst na desnoj strani prozora.

Koristite obrazac ili Molimo koristite obrazac- koristite obrazac za dobivanje koda za otključavanje Broj-tekst na desnoj strani prozora.

Ako ništa nije pronađeno

2. Ako je sustav djelomično blokiran. Ovaj korak se odnosi na slučajeve kada banner "visi" na sredini ekrana, a da ga ne zauzima u potpunosti. Ako je pristup potpuno blokiran, idite ravno na korak 3. Upravitelj zadataka je blokiran na isti način kao i verzije Trojanca na cijelom zaslonu, odnosno nemoguće je prekinuti zlonamjerni proces na uobičajene načine.

Iskoristivši ostatke hrane slobodan prostor na ekranu, učinite sljedeće:

1) Provjerite svoje računalo s najnovijom verzijom Dr.Web CureIta! http://www.freedrweb.com/cureit/. Ako je virus uspješno uklonjen, slučaj se može smatrati završenim, ako ništa nije pronađeno, idite na korak 4.
2) Preuzmite uslužni program za popravak Dr.Web Trojan.Plastix s http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe i pokrenite preuzetu datoteku. U prozoru programa kliknite Nastavi, a kada Plastixfix završi, ponovno pokrenite računalo.
3) Pokušajte instalirati i pokrenuti program Process Explorer(možete preuzeti sa stranice
Microsoft: http://technet.microsoft.com/en-us/sysinternals/bb896653). Ako je lansiranje bilo uspješno -
pritisnite gumb sa slikom nišana u prozoru programa mišem i, ne puštajući ga,
zadržite pokazivač iznad bannera. Kada pustite gumb, Process Explorer će pokazati proces
koji je odgovoran za rad bannera.

3. Ako uopće nema pristupa. Obično blokeri potpuno zatrpaju ekran bannerom, što onemogućuje pokretanje bilo kojeg programa, uključujući Dr.Web CureIt! U tom slučaju pokrenite sustav s Dr.Web LiveCD-a ili Dr.Web LiveUSB http://www.freedrweb.com/livecd/ i skenirajte svoje računalo na viruse. Nakon provjere, pokrenite računalo s tvrdi disk i provjerite je li problem riješen. Ako ne, idi do koraka 4.

4. Ručno pretraživanje virus. Ako ste došli do ove točke, onda Trojanac koji je pogodio sustav je novost, a morat ćete ga tražiti ručno.

Da biste ručno uklonili blokator, morate pristupiti registru sustava Windows pokretanjem s vanjskog medija.
Obično se blokator pokreće na jedan od dva poznata načina.

Automatskim učitavanjem u granama registra
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Zamjenom sistemskih datoteka (jedne ili više) pokrenutih u grani HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ili, na primjer, datoteku taskmgr.exe.

Za rad nam je potreban Dr.Web LiveCD/USB (ili drugi alati za rad s vanjskim registrom).

Za rad s Dr.Web LiveCD/USB, pokrenite računalo s CD-a ili flash pogona, a zatim kopirajte na flash kartica sljedeće datoteke:

C:\Windows\System32\config\software*datoteka nema ekstenziju*
C:\Document and Settings\vaše_korisničko ime\ntuser.dat

Ove datoteke sadrže registar sustava zaraženi stroj. obrađujući ih u program regedit, možemo očistiti registar od posljedica aktivnosti virusa i istovremeno pronaći sumnjive datoteke.

Sada transfer navedene datoteke na funkcionalno Windows PC i učinite sljedeće:

Trčanje regedit, otvori grm HKEY_LOCAL_MACHINE i učiniti Datoteka –> Učitaj košnicu.
U prozoru koji se otvori navedite put do datoteke softver, navedite naziv (na primjer, današnji datum) za odjeljak i kliknite U redu.

U ovoj košnici morate provjeriti sljedeće grane:
Microsoft\Windows NT\Trenutna verzija\Winlogon:
Parametar Ljuska treba biti jednaka Explorer.exe. Ako su neke druge datoteke navedene, morate zapisati njihova imena i pune putove do njih. Zatim uklonite sve nepotrebno i postavite vrijednost Explorer.exe.

Parametar userinit treba biti jednaka C:\Windows\system32\userinit.exe(točno, sa zarezom na kraju, gdje je C ime disk sustava). Ako su datoteke navedene iza zareza, trebate zapisati njihova imena i izbrisati sve što je navedeno iza prvog zareza.
Postoje situacije kada postoji slična grana s imenom Microsoft\WindowsNT\Trenutna verzija\winlogon. Ako ova grana postoji, mora se izbrisati.

Microsoft\Windows\Trenutna verzija\Run- grana sadrži postavke za startup objekte.

Posebnu pozornost treba obratiti na prisutnost objekata koji ispunjavaju sljedeće kriterije:

Imena podsjećaju procesi sustava, ali se programi pokreću iz drugih mapa
(na primjer, C:\Documents and Settings\Dima\svchost.exe).

Imena poput vip-porno-1923.avi.exe.

Aplikacije koje se pokreću iz privremenih mapa.

Nepoznate aplikacije počevši od sistemske mape(na primjer, C:\Windows\system32\install.exe).

Imena su sastavljena od nasumičnih kombinacija slova i brojeva
(na primjer, C:\Documents and Settings\Dima\094238387764\094238387764.exe).

Ako su prisutni sumnjivi objekti, njihova imena i putanje moraju se zabilježiti, a unosi koji im odgovaraju ukloniti iz pokretanja.

Microsoft\Windows\CurrentVersion\RunOnce- također grana startupa, mora se analizirati na sličan način.

Nakon dovršetka analize kliknite na naziv preuzete sekcije (u našem slučaju je imenovan po datumu) i izvršite File –> Unload Hive.

Sada moramo raščlaniti drugu datoteku - NTUSER.DAT. Trčanje regedit, otvori grm HKEY_LOCAL_MACHINE i učiniti Datoteka –> Učitaj košnicu. U prozoru koji se otvori navedite put do datoteke NTUSER.DAT, imenujte odjeljak i kliknite U redu.

Ovdje su grane zanimljive. Softver\Microsoft\Windows\Trenutna verzija\Pokreni I Software\Microsoft\Windows\CurrentVersion\RunOnce, navodeći objekte pokretanja.

Potrebno ih je analizirati na prisutnost sumnjivih predmeta, kao što je gore navedeno.

Također obratite pozornost na parametar Ljuska u grani Softver\Microsoft\Windows NT\CurrentVesion\Winlogon. Mora biti važno Explorer.exe. Istovremeno, ako takve grane uopće nema, sve je u redu.
Nakon dovršetka analize kliknite na naziv preuzete sekcije (u našem slučaju je imenovan po datumu) i izvršite File –> Unload Hive.

Nakon što ste dobili ispravljeni registar i popis sumnjivih datoteka, morate učiniti sljedeće:

Spremite registar zahvaćenog računala u slučaju da nešto pođe po zlu.

Prenesite ispravljene datoteke registra u odgovarajuće mape na zahvaćenom računalu pomoću Dr.Web LiveCD/USB (kopije sa zamjenom datoteke). Datoteke, informacije o kojima ste snimili tijekom rada - spremite na USB flash pogon i izbrišite ih iz sustava. Njihove kopije moraju se poslati u laboratorij za viruse Doctor Weba na analizu.

Pokušajte pokrenuti zaraženi stroj s tvrdog diska. Ako je preuzimanje uspješno
uspješno i nema natpisa - problem je riješen. Ako trojanac još uvijek radi,
ponovi cijeli točka 4 ovog odjeljka, ali uz temeljitiju analizu svih ranjivih i često korištenih mjesta u sustavu.

Pažnja! Ako se računalo ne pokrene nakon tretmana s Dr.Web LiveCD/USB
(počinje se ponovno pokretati ciklički, pojavljuje se BSOD), morate učiniti sljedeće:

Provjerite postoji li jedna datoteka u konfiguracijskoj mapi softver. Problem se može pojaviti jer su na Unix sustavima nazivi datoteka osjetljivi na velika i mala slova (tj. Softver I softver- različiti nazivi, a te datoteke mogu biti u istoj mapi) i ispravljena datoteka softver može se dodati u mapu bez prepisivanja stare. Na Pokretanje sustava Windows, u kojem velika i mala slova ne igraju ulogu, dolazi do sukoba i OS se ne pokreće. Ako postoje dvije datoteke, izbrišite stariju.

Ako softver jedan, a preuzimanje se ne događa, postoji velika vjerojatnost da je na sustav utjecala "posebna" modifikacija winlock. Prijavljuje se u poslovnici HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, u parametar Ljuska i prepisuje datoteku userinit.exe. Izvornik userinit.exe pohranjeni u istoj mapi, ali pod drugim imenom (najčešće 03014d3f.exe). Uklonite zaražene userinit.exe i u skladu s tim preimenujte 03014d3f.exe (naziv može varirati, ali ga je lako pronaći).
Ove radnje se moraju izvesti dizanjem s Dr.Web LiveCD/USB-a, a zatim pokušajem podizanja sustava s tvrdog diska.

U kojoj god fazi bitka s Trojancem završi, morate se zaštititi
sličnih nevolja u budućnosti. Instalirati antivirusni paket Dr.Web i redovito
ažurirati baze podataka o virusima.