Как разблокировать компьютер от вируса вымогателя. Десять способов избавиться от троянов-вымогателей и разблокировать Windows

В данной статье будут рассмотрены способы разблокировки и удаления вируса-вымогателя для систем Windows 7, 8, XP или Vista. В основном, подобного рода вирусами являются «трояны» из плеяды Winlock. Узнать, что это действительно вирус-вымогатель достаточно просто.


В случае заражения ПК, на мониторе появится изображение различного характера. Компьютер перестанет отвечать на команды. На очно, перед глазами появится баннер по типу окна с надписью «» и предложит для разблокировки отправить платное смс или перевести деньги на конкретный счет, после чего придет специальный код, который нужно ввести в появившемся окне. После этого, якобы, система должна разблокироваться. Вирусы вымогатели бывают разных типов, и от этого будет зависеть сложность удаления каждого из них.

Способ 1. Диспетчер и менеджер задач

Если попался примитивный «троян», то можно воспользоваться диспетчером задач. Вызвав диспетчер комбинацией CTRL+SHIFT+ESC или CTRL+ALT+DEL, необходимо завершить процесс, который не должен быть запущен.

В ситуации, если диспетчер невозможно вызвать, можно воспользоваться менеджером процессов при помощи комбинации Win+R. В окне менеджера нужно вписать слово «notepad » и нажать ENTER . Таким образом, откроется приложение Блокнот. Затем в Блокноте нужно набрать любые символы и коротко нажать кнопку включения ПК. После этого все процесс завершаться, но компьютер выключаться не будет. Таким образом, пока вирус отключен, можно проверить ПК с помощью антивируса на предмет вредоносного ПО. В случае, если на компьютере отсутствует антивирус, то файлы вредоносные файлы можно попробовать удалить вручную. Как правило вымогатели Winlock оседают в каталогах временных файлов системы или браузера.

Нужно проверить пути:

C: \ Documents and Settings \ имя пользователя ПК \

C: \ Users \ имя пользователя ПК \ AppData \ Roaming \.

В данных директориях нужно найти файл «ms.exe » и другие файлы со странным именем, например, «Hhcхcx.exe » или «0.287999.exe » и удалить их.

Способ 2. Восстановление системы.

Нужно загрузить систему в безопасном режиме. В нужно прописать: «C:\WINDOWS\system32\Restore\rstrui.exe » и нажать ENTER .

Откроется окно восстановления операционной системы, где нужно выбрать точку восстановления из предложенных.

Необходимо выбрать ту точку, когда можно со 100% вероятностью утверждать, что компьютер был полностью работоспособный и «чистый» от вирусов.

Способ №3. Безопасный режим

Если предыдущие способы не принес результата, значит, пользователь имеет дело с более продвинутым вирусом. В таком случае удаление вируса придется выполнять в

В этой статье я расскажу вам про основные классы вредоносного ПО и классические уязвимости в популярных ОС на примере Windows 7/XP/2000. Постараюсь описать основные методы устранения более понятным и простым языком направленным на общую аудиторию пользователей.

В настоящее время существует огромное количество . Паралельно с вирусами развивается , становясь все более совершенной, но не всегда бывает по карману обычному пользователю. И многие используют простейшие антивирусники или не имеют вообще надеясь, что вирус не попадет к ним в компьютер.

Какие вирусы бываю? Посмотрим не сложную классификацию:

— по среде обитания

— файловые вирусы, попадают в выполняемые файлы (*.СОМ, *.ЕХЕ, *.SYS, *.BAT, *.DLL);

— загрузочные вирусы , стремятся попасть в загрузочный сектор диска (Boot-сектор);

—макро-вирусы , поражают системы которые используют в своей работе макросы (например, Word, Excel).

—сетевые вирусы распространяются при помощи команд и протоколов компьютерных сетей.

Последнее время самым неприятным и даже страшным вирусом для обычного пользователя становятся банеры блокирующие компьютер и вымогающие деньги. Есть три способа борьбы с такими вирусами-блокировщиками.

1. Первый способ самый простой. Воспользуйтесь другим компьютером или мобильным устройством для входа на официальный сайт производителей антивирусных продуктов (Kasperskiy, Dr Web, Nod 32). У каждой компании есть раздел где можно подобрать код разблокировки введя номер телефона указанного на банере.

Если такой банер в базе, то этот способ поможет вам разблокировать компьютер. Но остается вероятность запуска этого банера вновь.

2. Второй способ немного сложнее, но успех гарантирован если сделать все правильно.

Для этого используем диск Live CD или презагружаем и входим в «Безопасный режим » работы компьютера. В командной строке прописываем «regedit.exe » и входим в программу работы с реестром.

Проходим следующий путь:

HKEY_LOCAL_MACHINE/SOFTWARE/

Microsoft/Windows NT/

CurrentVersion/Winlogon

Находим файлы в правой колонке «Userinit,Shell «. Значение «Userinit » должно быть точно как на картинке, а значению «Shell «должно соответствовать «Explorer.exe » или этого параметра может вообще не быть. Если ваши значения отличаются от приведенных выше то их необходимо изменить. Два раза кликаем на значении и меняем его, далее «Запомнить «. Именно эти значения являются адресом банера. Компьютер разблокирован, но вирус не удален. Очистить можно при помощи специальной бесплатной утилиты «Dr.web cureit » которую можно скачать на официальном сайте компании «Доктор Веб».

3. Третий способ.

3.1 Скачиваем с официального сайта Лаборатории Касперского образ —iso диска «Kaspersky Rescue Disk».

3.2 Записываем скачанный образ на CD/DVD-диск. Записать образ-iso можно при помощи программ Nero Burning ROM , ISO Recorder , DeepBurner , Roxio Creator и др.

3.3 Так же можно записать образ утилиты на USB-накопитель.

Для записи вставьте USB-накопитель в компьютер. Объем накопителя должен быть не меньше 256 Мв. Файловая система накопителя должна быть FAT16 или FAT32 . Если накопитель имеет файловую систему NTFS, то необходимо отформатировать его с указанием нужной системы. Скачиваем образ для USB-накопителя и запускаем файл rescue2usb.exe.

С помощью кнопки «Обзор » находим скачанную утилиту и ниже выбираем USB-накопитель куда записываем образ, нажимаем кнопку»Старт «. После завершения записи в открывшимся окне нажимаем кнопку «ОК «.

В меню BIOS находим Boot где установим тот накопитель с которого будет загрузка, это — CD-ROM Drive или Removable Devices.

После того как выбрали метод загрузки вставляем диск с образом в дисковод или USB-накопитель в порт. Перезагрузите компьютер. В появившемся окне увидите надпись «Press any key to enter the menu »

и нажмите любую клавишу в течении 10 секунд иначе загрузка пойдет с жесткого диска. В новом окне выберете язык интерфейса.

Соглашаясь с лицензионным соглашением нажимаете клавишу «1 «.

Переходим к лечению реестра. Находим кнопку с буквой «К» (в левом нижнем углу ), в меню выбираем «Терминал» . В командной строке прописываем команду windowsunlocker и нажимаете Enter на клавиатуре.

Утилита запущена и вы видите окно с меню где предлагается выполнить действие. Выбираете на клавиатуре «1- разблокироватьWindows » и нажимете «Enter».

Программа очистит реестр и покажет результат.

Последнее что нужно сделать в меню выбрать»2″- Сохранить копии загрузочных секторов. Нажимаете «0 » выход.

После успешного завершения очистки реестра удаляем остатки вируса утилитой «Dr.web cureit».

Вы ознакомились с тремя простыми и эффективными способами разблокировки компьютера зараженным очень неприятным вирусом ().

Видео

Часто пользователи обращаются к нам с такой проблемой:

При запуске браузера открывается сайт mvd.ru с предупреждением о необходимости заплатить штраф:

Министерство Внутренних Дел Российской Федерации. Вами был нарушен закон! МВД РФ было обнаружено использование вашего электронного устройства с противоправной целью, а именно - просмотр и копирование материалов содержащих элементы педофилии, насилия и ГЕЙ-ПОРНО. На оплату штрафа Вам отведено 12 часов.

При попытке открыть любой другой сайт всё равно открывается mvd.ru. К тому же, на иконке сетевых подключений присутствует треугольник «Подключение ограничено». Антивирус не находит никаких вирусов и вредоносных программ на компьютере. Как удалить сообщение mvd.ru из браузера?

Вот так выглядит страница с требованием оплатить штраф:

Прямо на обманной странице присутствует форма для перечисления денег мошенникам якобы для разблокировки компьютера. На самом деле, эта страница не имеет никакого отношения к сайту mvd.ru. Она подменена мошенниками. Если открыть этот сайт с не заражённого компьютера, откроется настоящий сайт МВД.

Существует другая разновидность страницы с сообщением:

Доступ в сеть Интернет заблокирован Для разблокировки введите свой номер телефона и следуйте инструкциям в смс

На экране отображается лишь форма для ввода телефонного номера и кнопки Отослать и К вводу кода :

Причина появления мошеннической веб-страницы

Страница-вымогатель появляется из-за того, что вредоносная программа изменила адрес DNS-сервера вашего компьютера. Как следствие — при запросе любого сайта DNS-ответ подменяется мошенническим сервером и выдаёт мошенническую веб-страницу, цель которой выманить деньги.

Настоящее МВД не может заблокировать компьютер за просмотр запрещенных сайтов. И тем более, МВД никогда не будет требовать уплаты штрафа на мобильный .

Удаление mvd.ru

1 Нажмите правой кнопкой мыши по значку сети в панели задач.

2 Выберите Центр управления сетями и общим доступом :

Если у вас не отображается ни одно подключение, проверьте, подключены ли вы к Wi-Fi или подключен ли кабель.

4 Нажмите кнопку Свойства :

5 Выделите в списке Протокол Интернета версии 4 .

6 Нажмите кнопку Свойства :

Здесь мы видим сторонний DNS-сервер, который был указан вредоносной программой:

7 Установите переключатель в положение Получить адрес DNS-сервера автоматически .

8 Нажмите ОК :

9 Нажмите Закрыть для применения настроек:

Внимание! Бывают случаи, когда вредоносное ПО изменяет настройки DNS не только на компьютере, но и на роутере. Особенно, если для входа на веб-интерфейс роутера используется логин и пароль по умолчанию, вроде admin/admin . Поэтому, рекомендуем проверить корректность настроек DNS на роутере. Информацию о том, какие настройки DNS являются правильными, вы можете получить у вашего Интернет-провайдера. Также, советуем установить свой надёжный пароль для входа на веб-интерфейс роутера (модема).

Смотрите на видео, как это делается:

Если ничего не помогло

Если после выполнения вышеописанный действий вместо нужного сайта всё равно открывается мошенническая страница, выполните дополнительные действия.

1. Ещё раз зайдите в настройки сетевой карты.

• Установите автоматическое получение IP.
• Укажите вручную DNS-сервер компании Google: 8.8.8.8
• Нажмите OK для сохранения:

• Нажмите Закрыть в двух окнах.
• Запустите командную строку.
• Введите:

ipconfig /flushdns

• Нажмите Enter:

3. Выполните очистку временных файлов с помощью CCleaner ()

Что делать, если айпад или айфон заблокирован МВД

Если вымогатель «оплатите штраф 3000 рублей» появился на устройстве Apple, то:

1. Сначала попробуйте очистить историю и куки

Зайдите в Настройки :

Откройте раздел Сафари .
Нажмите Очистить историю и Очистить :

Затем нажмите Удалить файлы cookie и данные и снова Очистить :

2. Если предыдущее действие не помогло разблокировать айпад, проще всего сделать сброс настроек (hard reset) с помощью программы iTunes:

Как убрать МВД с Android-устройства

1. Сперва попробуйте такой вариант: войдите в Настройки , Диспетчер приложений , найдите свой браузер (например Chrome), откройте свойства приложения и нажмите Очистить данные :

2. Если не помогло, есть более радикальный метод: сделать сброс устройства.

Войдите в Recovery на своем Android-устройстве. Чаще всего для этого потребуется:

• выключить смартфон/планшет,
• зажать центральную кнопку (home).
• нажать клавишу увеличения громкости и кнопку питания .
• держать до появления зеленого робота на дисплее.

(Читайте о различных вариантах входа в рекавери на разных устройствах: )

Выберите wipe data/factory reset :

И подтвердите, выбрав YES :

Итак, сегодня мы поговорим с вами о том, как разблокировать компьютер от вируса "МВД". Это современный вид компьютерной заразы, которую можно легко подцепить в интернете. А вот избавиться от нее будет довольно трудно, особенно если не знать, что делать. Так что давайте поскорее попробуем разобраться, как бороться с проблемой.

Внешний вид

Но перед тем от вируса "МВД", давайте подумаем, с чем же нам придется иметь дело. Ведь всегда хорошо знать врага в лицо. Это поможет нам поскорее найти путь обхода той или иной компьютерной заразы.

Итак, вирус "МВД" - это так называемый блокиратор доступа в интернет. При работе в сети он выскакивает поверх страницы, не давая вам продолжать действия. При всем этом, если вам удалось перезагрузить компьютер, то данная дрянь будет все время выскакивать при запуске браузера. И работать в интернете теперь будет просто невозможно.

Если вы думаете, от вируса "МВД РФ", то ни в коем случае не отправляйте СМС-сообщение, которое требует баннер. Вы просто потеряете деньги - никакого кода для разблокировки вам не придет. Вы так и останетесь с проблемой, да еще и без денег. Теперь давайте посмотрим, откуда может браться данная зараза, а также как ведет себя компьютер, когда он инфицирован. После этого можно будет говорить о том, как разблокировать компьютер от вируса "МВД РФ".

Где встречается

Что ж, каким образом можно напороться на нашу сегодняшнюю заразу? Дело все в том, что просто так блокираторы не появляются в операционной системе. Надо очень постараться, чтобы наткнуться на подобный вирус.

В отличие от спама или "МВД" (как удалить его, мы поговорим позже) встречается преимущественно на разнообразных сайтах. Это не обязательно рекламная страница. Можно сказать, что ни один пользователь не застрахован от данной заразы. Правда, есть один маленький совет, которому можно последовать. Он поможет избежать раздумий о том, как разблокировать компьютер от вируса "МВД России" самостоятельно.

Совет прост - не посещайте сайты, которые выглядят подозрительно, а также рекламируют что-то запрещенное правительством. Например, страницы интимного характера или же торрент-трекеры с пиратским программным обеспечением. Как правило, именно на таких сайтах наиболее часто встречается наш сегодняшний "герой" обзора. А удалить его бывает довольно трудно. Так что давайте теперь посмотрим, как ведет себя компьютер после инфицирования, а также изучим методы исцеления системы.

Поведение

Итак, что же происходит с вашей операционной системой после того, как в нее попал наш сегодняшний блокировщик? Наверное, стоит обсудить ряд особенностей, которые можно выделить. Особенно если вам удалось просто закрыть браузер и перезагрузить систему, а после этого работать в интернете вы не пытались.

Для начала стоит отметить, что у вас тут же начнет тормозить операционная система. Дело все в том, что вирус прописывается в автозапуске, а это довольно сильно загружает процессор. Кроме того, зараза оставляет свои файлы в "Виндовс", тем самым замедляя работу. Если вы заметили что-то подобное, то, скорее всего, в ближайшем будущем вам придется задуматься, как разблокировать компьютер от вируса "МВД" самому.

Кроме того, если вы попытаетесь поработать в интернете, то у вас этого не получится - вместо браузера выскочит окно-блокиратор, которое сообщит о том, что вы должны выслать СМС-сообщение с определенным кодом, для получения разблокировки. Естественно, как уже было сказано, делать этого не надо. Так что, если вы лишились своего браузера, то стоит подумать о том, как разблокировать компьютер от вируса "МВД". Существует несколько хороших способов. Правда, использовать их надо комплексно.

Проверка

Итак, первый шаг, который потребуется сделать для проведения очистки вашего компьютера от сегодняшнего вируса - это самая банальная проверка операционной системы на наличие вирусов и троянов. Этот ход не избавит вас от заразы полностью, зато поможет исцелить большую часть файлов.

Для того чтобы практически ответить на вопрос о том, как разблокировать компьютер от вируса "МВД", придется купить Здесь прекрасно подойдет Dr.Web. Если он не нравится вам, то воспользуйтесь Nod32. Обновите базу данных о вирусах, а потом начните глубокое сканирование. Этот процесс может отнять довольно много времени. Тем не менее дождитесь результатов.

Все, что было обнаружено, придется вылечить. Будьте готовы к тому, что не все файлы поддадутся терапии. В этом случае их достаточно просто удалить. Закройте антивирусную программу, а потом приступайте к следующему этапу. Правда, если вы не особо беспокоились за безопасность вашего компьютера, то можно пропустить данный шаг из-за невозможности его использования.

Антишпион

Данное приложение прекрасно справляется с поиском и папок, которые содержат в себе вредоносное и опасное программное обеспечение. Проверка такой утилитой после антивируса -это прекрасный способ избавить систему от вирусов, которые очень хорошо шифруются. Запустите проверку, а потом удалите все то, что будет найдено. Если у вас не была установлена данная программа, то можно пропустить этот шаг. Ведь скачать Spy Hunter у вас не выйдет, пока вы не избавитесь от компьютерной заразы.

Работа в системе

Итак, теперь давайте посмотрим, что нам надо для того, чтобы ответить, как разблокировать компьютер от вируса "МВД". После сканирования придется проделать еще парочку манипуляций, после чего можно будет перезагрузиться.

Итак, первым делом отправляемся в реестр. Открыть его можно после выполнения команды "regedit". Перед этим нажмите Win+R, а потом напишите данную функцию. Зайдите в "Правку", а потом в "Поиск". Напишите в открывшейся строчке "МВД", а потом начните проверку. Удалите все, что было обнаружено, затем закрывайте реестр.

Теперь переходите в "Мой компьютер". Тут придется залезть в системную папку "Windows". Найдите там "System32", а в ней "Drivers". Загляните туда. Дважды кликните по надписи "etc", а затем откройте блокнотом "host". Вы увидите какие-то надписи. Не будем вникать в них - сейчас нам надо избавиться от блокировщика. Поэтому смело стираем все, что там написано, а потом сохраняем изменения. Теперь достаточно перезагрузить компьютер. Не помешает и заново переустановить браузер. Вот и все. Теперь вы знаете, как разблокировать компьютер от вируса "МВД" самому.

С помощью троянов семейства Winlock, известных как «блокировщики Windows», у рядовых пользователей вымогают деньги уже более пяти лет. К настоящему времени представители этого класса вредоносных программ серьёзно эволюционировали и стали одной из самых частых проблем. Ниже предлагаются способы самостоятельной борьбы с ними и даются рекомендации по предотвращению заражения.

Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом.

Картинка может быть откровенно порнографической, или наоборот – оформлена максимально строго и грозно. Итог один: в сообщении, расположенном поверх других окон, требуется перечислить указанную сумму на такой-то номер или отправить платное SMS-сообщение. Часто оно дополняется угрозами уголовного преследования или уничтожения всех данных, если пользователь не поторопится с оплатой.

Разумеется, платить вымогателям не стоит. Вместо этого можно выяснить , какому оператору сотовой связи принадлежит указанный номер, и сообщить его службе безопасности. В отдельных случаях вам даже могут сказать код разблокировки по телефону, но очень рассчитывать на это не приходится.

Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом.

Голыми руками

Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний – смотрите примеры ниже.

Зайти в специализированные разделы сайтов “Доктор Веб” , “Лаборатории Касперского” и других разработчиков антивирусного ПО можно с другого компьютера или телефона.

После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt! или Kaspersky Virus Removal Tool .

Простым коням – простые меры

Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш {CTRL}+{ALT}+{DEL} или {CTRL}+{SHIFT}+{ESC}. Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.

Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.

Если диспетчер задач не вызывается, попробуйте использовать сторонний менеджер процессов через команду «Выполнить», запускаемую нажатием клавиш {Win}+{R}. Вот как выглядит подозрительный процесс в System Explorer .

Скачать программу можно с другого компьютера или даже с телефона. Она занимает всего пару мегабайт. По ссылке «проверить» происходит поиск информации о процессе в онлайновой базе данных, но обычно и так всё понятно. После закрытия баннера часто требуется перезапустить «Проводник» (процесс explorer.exe). В диспетчере задач нажмите: Файл -> Новая задача (выполнить) -> c:Windowsexplorer.exe.

Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.

Типичное место локализации трояна – каталоги временных файлов пользователя, системы и браузера. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns .

Военная хитрость

Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите {WIN}+{R}, напишите notepad и нажмите {ENTER}. Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке. Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.

Блокнот – коня на скаку остановит и доступ админу вернёт!

Старая школа

Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты.

В этом случае перезагрузите компьютер и удерживайте клавишу {F8} в момент загрузки Windows. Появится окно выбора способа загрузки. Нам требуется «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt). После появления консоли пишем explorer и нажимаем {ENTER} – запустится проводник. Далее пишем regedit, нажимаем {ENTER} и видим редактор реестра. Здесь можно найти созданные трояном записи и обнаружить место, откуда происходит его автозапуск.

Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

В “Shell” троян записывается вместо explorer.exe, а в “Userinit” указывается после запятой. Копируем полное имя троянского файла в буфер обмена из первой обнаруженной записи. В командной строке пишем del, делаем пробел и вызываем правой клавишей мыши контекстное меню.

В нём выбираем команду «вставить» и нажимаем {ENTER}. Один файл трояна удалён, делаем тоже самое для второго и последующих.

Удаление трояна из консоли – файл находился во временной папке.

Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.

Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ.

Операция под наркозом

Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk . Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker .

Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.

При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это {DEL} или {F2}, а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения {F10} и выйдите из BIOS.

Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать {F12}, {F11} либо сочетание клавиш – подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.

Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме – пошаговую инструкцию на сайте разработчика.

Борьба на раннем этапе

Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.

Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши {R} вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей {Y} и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:

После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.

В крестовый поход с крестовой отвёрткой

На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.

Чтобы не разносить заразу, предварительно отключаем на “лечащем” компьютере автозапуск с HDD (да и с других типов носителей не мешало бы). Сделать это удобнее всего бесплатной утилитой AVZ, но саму проверку лучше выполнять чем-то другим. Зайдите в меню «Файл», выберите «Мастер поиска и устранения проблем». Отметьте «Системные проблемы», «Все» и нажмите «Пуск». После этого отметьте пункт “Разрешён автозапуск с HDD” и нажмите “Исправить отмеченные проблемы”.

Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.

Если разделы внешнего жёсткого диска не видны, зайдите в «Управление дисками». Для этого в окне «Пуск» -> «Выполнить» напишите diskmgmt.msc и затем нажмите {ENTER}. Разделам внешнего жёсткого диска должны быть назначены буквы. Их можно добавить вручную командой «изменить букву диска…». После этого проверьте внешний винчестер целиком.

Для предотвращения повторного заражения следует установить любой антивирус с компонентом мониторинга в режиме реального времени и придерживаться общих правил безопасности:

• старайтесь работать из-под учётной записи с ограниченными правами;
• пользуйтесь альтернативными браузерами – большинство заражений происходит через Internet Explorer;
• отключайте Java-скрипты на неизвестных сайтах;
• отключите автозапуск со сменных носителей;
• устанавливайте программы, дополнения и обновления только с официальных сайтов разработчиков;
• всегда обращайте внимание на то, куда на самом деле ведёт предлагаемая ссылка;
• блокируйте нежелательные всплывающие окна с помощью дополнений для браузера или отдельных программ;
• своевременно устанавливайте обновления браузеров, общих и системных компонентов;
• выделите под систему отдельный дисковый раздел, а пользовательские файлы храните на другом.

Следование последней рекомендации даёт возможность делать небольшие образы системного раздела (программами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery или хотя бы стандартным средством Windows “Архивация и восстановление”). Они помогут гарантированно восстановить работу компьютера за считанные минуты независимо от того, чем он заражён и могут ли антивирусы определить трояна.

В статье приведены лишь основные методы и общие сведения. Если вас заинтересовала тема, посетите сайт проекта GreenFlash. На страницах форума вы найдёте множество интересных решений и советы по созданию мультизагрузочной флэшки на все случаи жизни.

Распространение троянов Winlock не ограничено Россией и ближним зарубежьем. Их модификации существуют практически на всех языках, включая арабский. Помимо Windows, заражать подобными троянами пытаются и Mac OS X. Пользователям Linux не дано испытать радость от победы над коварным врагом. Архитектура данного семейства операционных систем не позволяет написать сколь-нибудь эффективный и универсальный X-lock. Впрочем, “поиграть в доктора” можно и на виртуальной машине с гостевой ОС Windows.