В последнее время большое распространение получили так называемые вредоносные программы, которые «берутся неоткуда» и «блокируют Windows». Официальное название такого ПО — Trojan.Winlock.n, который к настоящему времени насчитывает несколько десятков версий.
Такого рода программы, проникая на компьютер, после перезагрузки блокируют доступ к рабочему столу Windows. Для разблокировки Windows предлагается отправить СМС, пополнить счет или какого-нибудь аккаунт платежного терминала.
Ни в коем случае не следует выполнять требования мошенников, так как этими действиями Вы спонсируете написание новых вирусов. Тем более избавится от этого вируса достаточно просто.
Как работает Winlock?
В основе работы любой версии Trojan.Winlock используются штатные средства операционной системы, которыми и организовывается «блокировка Windows».
Фактически алгоритм действия примерно такой:
- Скрипт Trojan.Winlock попадает на ваш компьютер при отключенном брандмауэре Windows 7. Способы попадания используются различные, начиная от клика по «лжебаннеру» и заканчивая установкой вируса самим пользователем, который может находится в «крякнутом» платном ПО. В основном Trojan.Winlock находится во временных директориях используемого браузера.
- Скрипт при активации подменят значения системного реестра. Чаще всего подменяется Shell-оболочка, по-умолчанию которой в Windows выступает Explorer. То есть вместо загрузки Explorer`а прописывается загрузка окошка с просьбой-вымогательством. При успешной «активации» это значение заменяется обратно на стандартный Explorer.
- После перезагрузки ОС Вы получаете окно с вымогательствами.
Как разблокировать Windows и удалить Winlock?
Чтобы избавится от баннера, который блокирует работу вашего компьютера можно воспользоваться:
- различными on-line сервисами антивирусных компаний, которые собирают данные, поступившие к ним от пользователей. Это самый простой способ, но «активировать» самые последние версии Trojan.Winlock им не под силу. Вот перечень web-сервисов:
Вводите номер телефона вымогателя и получаете фразу разблокировки.
- воспользоваться инструментом системного администратора ERD Commander (145 Мб), который является LiveCD с операционной системой Windows, способной редактировать системный реестр установленной ОС.
Удаляем Winlock с помощью ERD Commander
Фактически требуется отредактировать 2 параметра системного реестра установленной ОС Windows и очистить временные файлы используемого Вами браузера. В большинстве случаев этих действий хватает для восстановления работы ОС Windows.
Разблокировка Windows с помощью ERD Commander:
- Загружаемся с LiveCD-диска ERD Commander`а. При загрузке ERD Commander`а появится окно подключения локальной сети.
- Удаляем временные файлы ОС и используемого Вами браузера. Для этого воспользуемся ярлыком My Computer. Очистить необходимо директории:
- C:\Windows\Temp
- C:\Documents and Settings\логин\Local Settings\Temporary Internet Files
- C:\Documents and Settings\логин\Local Settings\Application Data\Opera\Opera\cache
- C:\Documents and Settings\логин\Local Settings\Application Data\Opera\Opera\cache
- Редактируем системный реестр Windows. Запускаем Start > Administrative Tools > Registry Editor:
- изменить параметр Userinit (REG_SZ), который находится [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], на значение C:\WINDOWS\system32\userinit.exe
- изменить параметр Shell (REG_SZ), который находится там же, на значение Explorer.exe
Должно получится так:
- Перезагружаем компьютер и для надежности проверяем ОС бесплатным антивирусом, к примеру, этим.
Статья опубликована 06.09.2010 · Автор статьи: Mut@NT