Топ
Реклама
Рубрика
Архивы
Мобильная версия блога
[QR-Code]

Deblocker. Удаляем вирус Trojan.Winlock своими руками.

«О, вот такая точно была картинка! Даже номер тот же», – почти радостно «узнал» вирус очередной «потерпевший».

Те, кто занимается ремонтом компьютеров, вы когда-нибудь замечали, что иногда при вашем появлении сломавшийся компьютер вдруг начинает работать как ни в чём не бывало? И невольно кто-то смотрит на вас со страхом с уважением или даже шутит.

В этом случае после загрузки Windows никакого вируса не было, а звонили мне два дня назад и всё это время компьютер был выключен. Куда же он делся?

Один из советов по удалению разновидностей вируса Trojan.Winlock, подсказывает: переведите системное время в BIOS на два дня вперёд, если не получится, то на месяц, год… Это не всегда срабатывает, так же как кованые решетки на окна не всегда спасают от грабителей, но вселяют уверенность (у меня ни разу не получалось так избавится от вымогателя), но здесь, кажется, сработало естественным путём.

И всё же удалять новую пакость лучше методами действенными и проверенными. Надо сказать, что существующие сейчас при сайтах антивирусных компаний сервисы деблокираторов Deblocker уже не всегда помогают, а многочисленные варианты удаления хитро… умных вирусов способны только запутать.

Между тем среди многочисленных советов есть два достаточно простых, но эффективных способа ликвидации многочисленных Trojan.Winlock – вирусов, которые блокируют операционную систему, делая невозможной работу, и требуют при этом отправить некую сумму денег.

Сразу скажу, что варианты не мои, я ими лишь вооружился, но за полезность и профпригодность скажем спасибо worldwar87.

Переустанавливать Windows – самое последнее дело, ведь можно решить проблему, не теряя времени и без особого риска для данных.

Первое, что надо сделать – перезагрузить компьютер и, нажимая при первоначальной загрузке клавишу F8 (иногда F5), выбрать параметр:  Безопасный режим с поддержкой командной строки.

Жмём Enter и рассматриваем ситуацию: перваяБезопасный режим благополучно загрузился без вируса, втораяон (вирус) никуда не исчез.

В первом случае нам нужно в командной строке набрать команду regedit.

Открыть ветвь реестра, используя путь:

HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows NT -> CurrentVersion -> winlogon

Заглядываем в Shell, как на рисунке:

На чистом компьютере вы увидите то, что и должно быть: написано explorer.exe. На зараженном – полный путь до исполняемого файла вируса. Запомните или запишите его, чтобы впоследствии удалить.

Для этого в командной же строке набираем explorer.exe и через «Мой компьютер» добираемся до вируса. Удаляем.

В Shell оставляем только запись explorer.exe

Для ситуации второй, когда вирус не даёт работать в Безопасном режиме, понадобится загрузочный Live-CD с Windows.

Его придется (если нету) скачивать из Интернета. Думаю, что сможете найти – Google вам в помощь.

Загружаемся с Live-CD, далее Пуск – Выполнить – regedit. В реестре необходимо создать раздел, кликнув по любой ветке:

Потом выбрать Файл ->Импортировать (путь С:/WINDOWS/System32/config/software) открываем и в созданном нами разделе повторяем действия, описанные в первом примере.

После удаления вируса потребуется экспортировать нашу очищенную ветку назад. Для этого выбираем меню Файл ->Экспортировать и обратно в С:/WINDOWS/System32/config/software.

После этого перезагружаем компьютер. Вирус удалён, но просканировать его полностью антивирусом с обновленными базами надо: своеобразный контроль и проверка исполнения, совсем как модули СУП в системе управления предприятием.

Счастливой охоты!

Вам понравилась статья? Не хотите пропускать новые? Тогда подпишитесь на RSS или получайте новые статьи на электронную почту

Автор: Chief | Дата: 26.01.2011 | Комментариев: 65

65 комментариев на «Deblocker. Удаляем вирус Trojan.Winlock своими руками.»

  1. Dobrejshij пишет:
    26.01.2011 в 12:43

    Спасибо за отличные советы.
    Давненько я уже с ютими блокираторами не сталкивался. Первый раз пришлось повозиться с ним. Тогда я и не знал, что это такое, действовал наугад. Помогло зажатие Ctr+Alt+Del, я держал их и не отпускал. Окно диспетчера мерацало, удалось выявить зловредную программу, а потом хоткеями в том же диспетчере ее завершить.
    Затем я нашел гада и удалил. Но недооценил противника, блокер был с защитой от удаления и как раз-таки намудрил с винлогоном. Я не мог зайти в Винду, постоянно выбрасывало на пользователя. Потом все-таки через Live-CD или что-то вроде этого исправил реестр и все встало на свои места.

    А знакомый на работе чудом подобрал код один раз, было пять семерок или что-то вроде того.

  2. Ника пишет:
    26.01.2011 в 12:56

    у меня такой вирус не встречался, на мою радость, но вступление статьи очень понравилось, у меня было время когда комп не хотел загружаться, прибегал муж с работы и с первого раза включал, мы уже даже шутить начали, что он его боится

  3. Арсений пишет:
    26.01.2011 в 13:05

    Ха, три дня назад поймался такой вирус! Оставил ноут, некогдабыло с ним возиться, сегодня взял код с дрвеба, они предоставляют поддержку по данным проблемам. Бывает, что и через 2 часа отключаются сами, однако у меня не отключился))

  4. FashionLady пишет:
    26.01.2011 в 17:19

    е-мае! Неужели опять эти вирусы появились. То было на время пропали. Теперь опять. Где то год назад я из-за него винду переустанавливала)))) Теперь знаю как с ним бороться

  5. diploref пишет:
    26.01.2011 в 17:58

    ООооооооо как же я рад что нашел ваш сайт. меня вирус уже этот так достал. сестренка полазиет на компе по всяким сайтам и пипец полный компу. Спасибо за инфу про вирусняк. Теперь я вооружен знаниями. Спасибочки :)))

  6. Рефбэк пишет:
    26.01.2011 в 19:05

    Ребята ловят такие фишки из серфинга, лазия по различным сайтам за копейки. Расстраиваются, пишут на форуме, нет никакого желания сносить винду. Я сам однажды цеплял его, но фаервол недавал активироваться ему, почему, сам не знаю 🙂
    Тепере буду отправлять всех сюда, жаль что ссылка поста числовая

  7. Хитрый Админ пишет:
    26.01.2011 в 19:39

    Зачотные вири – блюдут мораль 🙂

    В принципе, в большинстве случаев спасает безопасный режим, с последующей локализацией и устранением заразы. В особо тяжелых случаях (файловые вири, которые прописываются в загрузочной записи винта) помогает live-cd от др.веба.

    Правда, для неопытных пользователей наилучшим решением будет просто поставить какой-нибудь резидентный антивирус…

  8. Талисман пишет:
    26.01.2011 в 20:08

    Спасибо, брательник такую заразу как раз подцепил.
    Поеду делать – заодно попробую ваши советы, а то винду переставлять не особо хочтется.

  9. Garena пишет:
    26.01.2011 в 22:17

    Спасибо, то что надо! Ненавижу этот вирус…

  10. Devil_Shurik пишет:
    26.01.2011 в 23:42

    У меня знакомые частенько ловят такую хрень.
    Последний раз изменение времени в биос не помогло, вместо безопасного режима синий экран.
    Помогла зверевская сборка с live-cd.
    Правда, тамошний антивирусник от каспера не удалил вырусы, но хотя-бы путь показал, удалил вручную. Перезагрузил, виря нет, но и рабочего стола нет. Хорошо хоть диспетчер задач запустился. Помог AVZ, все исправил.

  11. Илья пишет:
    26.01.2011 в 22:55

    Спасибо)Частенько на windows его хватал. С переходом на mac os забыл обо всем этом (не сочтите за рекламу)

  12. Блоггер пишет:
    27.01.2011 в 09:08

    Инструктаж полезный, особенно, ежели попадёт на верхушку по поиску. У нас ведь никто заранее об этом не думает, а как до дела дойдёт – так начинают лихорадочно по Интернет искать “Боже, как это удалить!?”
    Как по мне, так надо бы ещё инструкцию написать. С картинками. На тему “как правильно проверить скачиваемый архив или вставляемую флешку”

    А то ведь в подавляющем большинстве случаев user=Администратор. А у админа ещё и ручки не доходят автозагрузку съёмных носителей отключить, да архивчик проверить на вирусы перед тем как распаковывать его.

    PS (риторический)
    Вот почему у меня только NetLimiter стоит, а вирусов нет?

    PSS (уверен?)
    Проверяюсь периодически 🙂

  13. SeoPapa пишет:
    27.01.2011 в 12:29

    Вируцс такой не встречал, но ситуации с перезагрузкой бывали. Вспоминается фильм про програмеров, которые все время просто говорили – перезагрузите комп..)

  14. Jason пишет:
    27.01.2011 в 13:06

    Спасибо за дельную инструкцию!!
    У товарища как раз наблюдаются симптомы!!
    Поеду как попробую разобраться!!

  15. Sasha пишет:
    27.01.2011 в 15:33

    Спасибо за дельный совет. А то сейчас вирусы на каждом шагу в инете, схватишь а потом не знаешь что делать.

  16. Кирилл Калита пишет:
    27.01.2011 в 17:44

    Ничего себе.. руками 🙂
    Но спасибо, на всякий случай!

  17. Олег пишет:
    27.01.2011 в 18:06

    Спасибо за информацию. На счастье у меня вирусов не обнаружено.

  18. PavelDev пишет:
    27.01.2011 в 20:06

    Эхххх…
    Мне бы эти советы два года назад …
    Тогда тоже такой вирус словил, хз откуда – пришлось сносить винду, копошился, в общем, довольно долго. Теперь то все нормально, сразу изучил решение этой проблемы.
    Удивляюсь, как некоторые люди умудряются послать смс-ку на указанный номер.

  19. Виталий пишет:
    27.01.2011 в 20:42

    Уважаемые пользуйтесь антивирусными программами и будет вам счастье

  20. PavelDev пишет:
    28.01.2011 в 00:06

    “Уважаемые пользуйтесь антивирусными программами и будет вам счастье”
    Антивирус – это средство постзащиты. Сначала выпустили вирус – и только через некоторое время обновился антивирус. Как известно, вирусов (под винду) создается очень и очень много. Поэтому одним лишь антивирусом не защититься в этом суровом мире …

  21. Алиса пишет:
    28.01.2011 в 07:48

    Неделю назад переустановила винду, так как после очередного посещения моим 13-летним оболтусом какого-то порносайта появился в углу экрана мужской половой орган) и никуда не исчезал. Танцующие голые девочки у нас тоже были, но с ними я справилась. А вот с членом никак. Теперь буду знать где искать ответы на вопросы. Пока от такого бог миловал, а все остальное уже было.

  22. sotserv пишет:
    28.01.2011 в 13:35

    Спасибо за подробное описание
    помог избавиться от нечисти )

  23. SuperSpeed пишет:
    28.01.2011 в 14:03

    “Вирусы” эти, на самом деле, “на лоха”. Через коммандную строчку + регэдит лечатся на ура, т.к. или тупо меняют shell, или дописывают подраздел winlogon (с маленькой буквы!!! – за такую возможность вообще авторов реестра надо казнить!)

    Кстати, в последнее время эта дрянь активно ломится через java-плагин в браузере, поэтому настоятельно рекомендую выпилить java (не javascript!) всем, кто ей профессионально не пользуется, или как минимум отключить плагин в браузере!

  24. onlinebomzh пишет:
    28.01.2011 в 14:13

    Мне постоянно друзья пишут с просьбами о помощи. Тогда лезу на доктора веба или касперского и говор им коды разблокировании. Дальше эту дрянь уже можно убивать.

  25. Mebel пишет:
    28.01.2011 в 16:08

    Как же меня выбешивают уроды, которые такую гадость по интернету рассылают. Побольше бы мануалов подобных – может, толку будет меньше для них и все эти эпидемии постепенно сойдут на нет. А вобще надо руки выдёргивать за такое..

  26. anulikfcb19 пишет:
    28.01.2011 в 20:48

    Спасибо, что так детально все изложили. Очень полезная информация.

  27. Даниил пишет:
    28.01.2011 в 22:20

    Ооооу спасибо автор огромное…Теперь я знаю как убить этого гада!Раз пять наверное из за етого дерьма вин приходилось сносить!Еще раз спасибо огромное!Блог просто супер!

  28. sergio_charm пишет:
    28.01.2011 в 22:33

    Я уже и не надеялся его убрать

  29. Александр пишет:
    29.01.2011 в 11:02

    Отличные советы) Теперь будем знать как убить этого гада, а то ни смс отправлять, ни винду косить как-то не хочется

  30. Лиза пишет:
    29.01.2011 в 20:55

    Что-то все слишком просто. Была такая зараза, пришлось нести бук в ремонт. сама не справилась и никто из знакомых не вычистил.

  31. Devil_Shurik пишет:
    29.01.2011 в 22:18

    Да особо ничего сложного, Лиза, просто у Вас не оказалось знающего знакомого под рукой.

  32. mirturs пишет:
    29.01.2011 в 22:47

    Хуже когда безопасный и обычный режимы недоступны. Окно на весь экран, диспетчер вызывается, но не появляется на экране, при этом дико грузится память, скорость падает в разы. Мне с начала года уже три таких приносили. Повезло, везде стояла Win7. Помогла нехитрая манипуляция-нажимал кнопку “Пуск”, чтобы мигнул трэй и в это время пытался курсором ткнуть в правую кнопку на трее “Закрыть все окна”. За 2-3 минуты удавалось поймать нужный момент.Потом, на первом компе удалось запустить командную строку и найти “незнакомый процесс”, на втором помог Dr. Web лайв CD. А вот на третьем стояла ХР, там даже войти не получилось.

  33. lexunder87 пишет:
    30.01.2011 в 16:10

    Хех, у меня на работе девчонки такие поймали, только с гей-порно, вот я угарал=)))) код нажал и вроде норм…потом антивирусом прошелся…вроде все ок.

  34. Vitaliy пишет:
    30.01.2011 в 22:06

    даа вирусок подарочок. Поймал его один разок еле раздуплил комп, форматнув диск С и поновой поставил винду и вируса не стало.

  35. Max пишет:
    31.01.2011 в 05:33

    Очень полезная статья.
    Частенько бывало у меня такое, но удалял быстро, простым откатом системы.
    Но все равно, спасибо!

  36. dLagor пишет:
    31.01.2011 в 11:07

    Да, очень неприятная зараза. Но я делаю образ диска С: (системы) на диск D:, и все доки хранятся на диске D:, в том числе и рабочий стол тож. И в случае порно-баннерской атаки – 3 минуты и усё ровно.

  37. Дмитрий пишет:
    31.01.2011 в 21:00

    Спасибо, то что надо! Ненавижу этот вирус…

  38. Dante пишет:
    31.01.2011 в 21:38

    Было недавно. Еле как его сам удалил, касперский помог))

  39. Гомер пишет:
    01.02.2011 в 02:13

    Частенько встречаю в интернете вирусы спасибо

  40. Антон пишет:
    01.02.2011 в 22:02

    Да мозг мне это вирус по…. Я делал следующее. Перезагружался заходил через командную строку. Далее вызывал редактор реестра, все впринципе как в статье. Только я еще запретил редактирование этой строки любому пользователю вплоть до системы. С тех времен меня этот вирус вообще стороной обходит) А так давольно долго хранился на диске,, только сделать не мог ничего)

  41. Valenok пишет:
    02.02.2011 в 15:17

    Блин спасибо огромное, спасибо!!!
    Как раз знакомый наткнулся на эту заразу.
    Вылечили при помощи вашей инструкции.
    благодарю.

  42. JohnnySuperb пишет:
    02.02.2011 в 14:22

    На своем компе ни разу не видел этого вируса. А вот на работе – даже коллега умудрился поймать. Там правда, футболки рекламировались. А брат после порно-сайтов такое ловил. Причем не раз! Приходилось оперативно приезжать и убирать это безобразие.

  43. lexa.rush пишет:
    02.02.2011 в 18:29

    Благодарю за инструкцию, а то как-то пришлось даже 2 тысячи рублей отдать мастеру.

  44. игорь пишет:
    04.02.2011 в 22:47

    дааа, когда хоть какое-то управление и доступ к компу сохраняются, то не трудно пролечить. Но в последнее время эти заразы обнаглели настолько что все порты, и адресы блокируются, помогает только загрузка сторонней системы. руки бы им заразоиздателям……….

  45. 08.02.2011 в 23:18

    Интересная заметка.

    Кстати, как-то умудрился и я себе словить Winlock раза 4 по-моему. Самое интересное то, что на компьютере был установлен и всегда в полном порядке дежурил Kaspersky Crystal, однако, он делу НЕ ПОМОГ! Что очень странно для коммерческого антивируса такого уровня…
    Но проблема сама с винлоком решалась во всех случаях очень интересно: после появления угрожающего окна, указатель мыши не мог покинуть его границы. Однако (…не совсем умные) темные личности “забыли” о блокировке клавиатуры. Поэтому, с помощью клавиатуры открываю меню Пуск и выбираю Перезагрузка. Все…
    Компьютер загружается (в обычном режиме) снова, а окна уже нет. После – запускаю проверку критических областей касперским, он благополучно находит зловреда и уничтожает его. Все.
    🙂

  46. 10.02.2011 в 13:23

    Спасибо, эти трояны уже надоели. Надо быть всегда вооруженным. Знание -сила!

  47. mirturs пишет:
    11.02.2011 в 17:23

    Кстати, неприятная новость для обладателей бесплатного Avast. Банеры он пропускает. Подряд вчера и сегодня звонили друзья с такой проблемой. Какая то новая дрянь, красное окошко,предложение пополнить мтс-кий номер 9161119842. Пока не ездил, не разбирался. Если удастся справиться с этой заразой – отпишусь.

  48. River пишет:
    25.02.2011 в 10:31

    Полезная информация. Буквально 22 февраля пришлось переустанавливать систему со всеми возможными потерями информации.
    Хотя стоит Symantec.

  49. tamerlan95 пишет:
    11.03.2011 в 21:09

    Пардон, а что такое Live-CD с Windows.

    Chief Reply:

    tamerlan95, а задайте вопрос в форуме!

  50. mirturs пишет:
    12.03.2011 в 19:32

    Live-CD с Windows – это обрезанная версия системы, устанавливается с диска. То есть винчестер при этом не задействуется,все необходимые файлы открываются в памяти компьютера, на экране появляется простенькая виндовс-подобная оболочка из которой можно повозиться с тем, что находится на винчестере.Очень удобная штука, когда компьютер даже не запускается. Только при запуске Live-CD необходимо, чтобы в БИОСе стояла первой загрузка с компакт-диска.

  51. PcBlogger пишет:
    30.03.2011 в 20:21

    Тоже раньше мучился с этой проблемой. Иногда приходилось Винду переустанавливать даже. Потом в одной статье прочитал как с помощью Kaspersky Internet Security обезопасить компьютер от этой напасти. Если интересно почитайте Здесь http://pcblogger.ru/bezopasnost/zashhita-ot-trojan-winlock-sredstvami-kaspersky-internet-security.html

  52. evgenipacan пишет:
    28.04.2011 в 10:31

    Огромное спасибо автору статьи, мне очень помогло, облазил весь Интернет и нашел.

  53. Odminko-mandarinko пишет:
    27.05.2011 в 12:51

    не большая не то4ность. когда загружаешь лайф сд нужно НЕ запускать редактор реестра в командой строке, а найти редактор реестра в : “пуск-программы”, потом показать папку с виндой и вот тогда с4астье. а если сделать так, как написано в посте, то откроется редактор реестра САМОЙ ЛАЙФ винды, а там все будет гуд.
    P.S.
    не уверен, 4то на любых сборках лайфов так, но на алкиде то да.
    P.S
    а в идеале делайте, как я, юзайте linux)))))

  54. jean пишет:
    24.07.2011 в 21:43

    Последний месяц раза 4 столкнулся с этим безобразием. Один раз удалось с другой винды почистить, а 3 раза сносил и по новому ставил.
    Но всем попадающимся на эту удочку я ставлю комодо файерволл и броузер прописываю в песочнице. Там виртуализация реестра и файловай системы. Поймали фигню – перегрузились и забот никаких больше нет.
    Теперь буду знать как лечить. Все-таки по времени менее затратно.

    Chief Reply:

    jean, всё это хорошо, да вирус не стоит на месте. С последними его версиями и я не справился – переустанавливал систему, но иногда помогает. Неделю назад помогло даже выставление другой даты в BIOS. Правда, там и была дата сбита на месяц. Может в этом и причина победы.

  55. Алексей пишет:
    06.09.2011 в 10:48

    Огромное спасибо за информацию, сталкивался с подобной ситуацией, разблокировал ноутбук простым методом тыка, вводил разнообразные коды от балды, потратил минут десять, зашел в систему и почистил антивирусником!

  56. stace-andrej пишет:
    13.09.2011 в 21:24

    Присоединяюсь к предыдущим ораторам, автору огромное спасибо…Раз пятьсот наверное из за етого дерьма виндозу приходилось сносить! Еще раз спасибо огромное! Блог отличный!

  57. Владимир пишет:
    18.12.2011 в 03:00

    Да, довольно неприятная зараза, хотя и справиться с ней не сложно. Я не раз сталкивался с таким вирусами и опубликовал пару методик по борьбе с ними. Может кому пригодится.

  58. Denis пишет:
    01.01.2012 в 03:55

    Появились новые винлоки они блокируют все и командную строку и безопасный режим лечилки не помогают осторожнее всем

  59. Владимир Мещенков пишет:
    31.01.2012 в 00:08

    Много по разным сайтам полазил, всё без-толку. Здесь – помогло! Может, у меня версия вируса не самая сложная, но кроме как в командную строку, доступа не давал. Тут он и попался! Огромное спасибо за дельные советы!

  60. mailforspam пишет:
    10.02.2012 в 10:38

    Спасибо большое)

  61. Pavel-admin пишет:
    03.04.2012 в 17:29

    Скажу сразу- вариант патовый. Описанные здесь действия помогали при вирусах “первых” поколений- сейчас всё по другому- я пока ситуацию полностью не изучил- мало материала, но могу сказать если всё это сделать вирус останется на месте- проверено (беларусская разновидность блокиратора:) Просит денег на белоруский номер.

    Chief Reply:

    Pavel-admin, пока в большинстве случаев помогает. После изменений в реестре можно вирус удалить.

  62. Pavel-admin пишет:
    03.04.2012 в 22:50

    Ну не знаю! Может хватку теряю;) А так обычно, если, что с загрузкой в безопасном, есть быстрый вариант – стандартная установочная флешка с win7, там и проводник есть и regedit- загружается 10 сек на первом этапе установки, а то boot диски “типа для админаф” – 5 минут ждёшь пока DVD шлак грузит!

Индекс цитирования Яндекс.Метрика Рейтинг@Mail.ru