Что делать, если Windows не запускается и требует денег? Не паниковать и не отправлять никаких SMS. Проблему можно решить за пару минут
По данным антивирусной компании «Доктор Веб», трояны семейства Trojan.Winlock - те самые, которые блокируют работу компьютера, находятся на третьем месте по популярности. Это неудивительно, поскольку они приносят своим создателям не только моральное удовлетворение, но и вполне ощутимый доход.
Если вы никогда не сталкивались с «трояном-вымогателем», то либо вы не пользуетесь Windows, либо не ходите на подозрительные сайты, либо вам везет. Вредоносные программы чаще всего проникают на компьютер через «дыры» в браузере, через незащищенные порты и бесплатные утилиты, которые, якобы, выполняют какую-то невероятно полезную функцию. Например, загружают картинки в аккаунт «ВКонтакте».
Трояны паразитируют на микроплатежах через SMS и работают строго по одному принципу: они блокируют работу компьютера или браузера и предлагают перепуганному пользователю отправить сообщение на один из коротких номеров в обмен на код разблокировки. Обычно это сопровождается комментарием, что на компьютере установлена нелицензионная копия Windows и необходима срочная ее активация. Попадаются и другие варианты: кто-то пишет, что на компьютере обнаружен вирус, а кто-то в обмен на SMS-сообщение предлагает доступ к порносайтам.
Идти на поводу у мошенников не стоит категорически. Во-первых, со счета телефона уйдет не 10 рублей, как часто написано на экране, а все 400. Во-вторых, одной SMS вряд ли удастся обойтись. Нет никаких гарантий, что и после серии дорогостоящих сообщений вам, наконец, пришлют код разблокировки. Если прислали - ждите возвращение трояна на следующий день.
В этом материале мы расскажем как бороться с троянами блокирующими компьютер целиком. Как быть, если стал недоступен только браузер или несколько самых часто посещаемых сайтов, мы описали в другом материале.
1. Генераторы кодов
Самый простой и довольно эффективный способ побороть блокирующую «заразу» - это обратиться за помощью к генератору кодов. Подобный сервис бесплатно предоставляют на своих сайтах все известные антивирусные компании: «Лаборатория Касперского», «Доктор Веб» и ESET.
Для того, чтобы воспользоваться генератором, нужно ввести в его поле номер телефона, на который троян требует прислать SMS. Наиболее продвинутый сервис предлагает «Доктор Веб». Он поможет подобрать код не только по номеру телефона, но и по названию трояна, и даже по внешнему виду его окна.
Попасть в интернет с зараженного компьютера, скорее всего, не получится. Троян просто не даст увидеть или запустить браузер. Можно попытаться получить доступ к системе нажатием сочетаний клавиш: Win+R, Win+E, Win+U, Win+F или другими подобными. Если это не помогает, а другого компьютера с интернетом под рукой нет, то переходим к следующим пунктам.
2. Безопасный режим
Можно попробовать войти в зараженную Windows в безопасном режиме. Для этого нужно удерживать клавишу F8 во время загрузки системы, а затем выбрать в появившемся меню пункт «Безопасный режим». Этот вариант может не сработать, если компьютер «подцепил» слишком продуманный троян. Такие удаляют часть реестра Windows, отвечающего за запуск безопасного режима.
В безопасном режиме можно запустить браузер и сходить на перечисленные выше сайты с генераторами кодов. Если с интернетом проблемы или коды не подходят, то открываем меню «Пуск», нажимаем «Выполнить» и вводим в командной строке msconfig. В открывшемся окне «Настройки системы» нужно перейти во вкладку «Автозагрузка» и удалить все подозрительные пункты. Например: plugin.exe, xodeccc.exe, servikes.exe, winloker servis.ехе, onlain servis.ехе, synsql.exe, exxplore.exe. Чтобы не отключить ничего лишнего обращайте внимание на поле «Команда». Оно может помочь понять к какому именно приложению относится автоматически загружаемый компонент.
Другой вариант поведения в «Безопасном режиме» - откат системы на предыдущую точку восстановления. Эту опцию система обязательно предложит, правда только в том случае, если автоматический «бэкап» заранее не был отключен в настройках Windows или не был поврежден трояном. Откат системы может не помочь, если доступно всего несколько точек восстановления, на момент создания которых компьютер уже был заражен трояном.
Если и в безопасном режиме троян выводит свое блокирующее окно, которое загораживает другие приложения, но не занимает весь экран, то помочь запустить браузер, антивирус или «Настройки системы» может «Диспетчер задач», вызываемый с помощью комбинации Ctrl+Alt+Del. Обычно трояны блокируют и его, чтобы не дать пользователю принудительно завершить их работу, но в безопасном режиме диспетчер всегда доступен. В нем также можно попробовать снять все подозрительные задачи, добившись исчезновения окна.
3. Запуск компьютера с Live CD
Третий вариант поведения - загрузка с диска Live CD от «Доктор Веб». Он позволяет восстановить систему в тех случаях, когда обычная загрузка с жесткого диска невозможна из-за последствий вирусной активности. Внутри Live CD находится операционная система на базе Linux c антивирусным сканером, файловым менеджером и браузером - всем, чем нужно для успешного излечения компьютера.
Дистрибутив Live CD можно загрузить с официального сайта «Доктор Веб». Затем его нужно записать на диск и загрузить с него компьютер. Как это сделать описано в исчерпывающем руководстве, которое можно найти на том же сайте.
Что делать потом
После того, как блокировка с Windows снята, нужно обязательно очистить систему от следов трояна. В этом могут помочь бесплатные антивирусные сканеры, например, CureIT от «Доктор Веб» или Virus Removal Tool от «Лабаратории Касперского».
Если урон системе нанесен слишком сильный (например, продолжает не запускаться «Диспетчер задач»), можно воспользоваться программой AVZ, которая не только способна искать и удалять вирусы, но и «чинить» последствия их пребывания на компьютере.
Наконец, имеет смысл обратиться с жалобой на мошенников в компанию, которая сдает в аренду короткие номера. Например, один из лидеров рынка «А1 Агрегатор», чьи номера очень часто используются в «троянах-вымогателях», реагирует на обращения пользователей весьма оперативно. На их сайте можно найти список принадлежащих им номеров и стоимость SMS для абонентов разных сотовых сетей.
И безусловно, было бы здраво распечатать эту статью на всякий случай. Чтобы она была под рукой, если мошенники все же доберутся до вас.
Как бороться с захватом браузера
Если ваш браузер отказывается открывать страницы или демонстрирует огромный мигающий баннер, требующий отправки SMS, то эта статья для вас.
Как и в случае полной блокировки Windows, «браузерный троян» предлагает отключить себя в обмен на платное SMS-сообщение. Соглашаться на это условие категорически не следует. Вряд ли все ограничится только одной «смской», которая, к тому же, будет стоить вам нескольких сотен рублей. Скорее всего, троян потребует не менее двух сообщений, после которых впадет во временную спячку. Будьте уверены – через некоторое время он проснется и начнет шантажировать по новой. Это предупреждение особенно касается офисных работников, которые часто стесняются признаться системным администраторам в том, что подхватили подобную «заразу», поскольку чаще всего она распространяется через порносайты.
Как уже было сказано выше, блокировка браузера может происходить двумя способами. При первом на экран выводится огромный баннер, обычно не очень приличного содержания. Такое окно называется «информер». Во втором случае блокируется доступ к определенным сайтам. Вместо них появляется текст с просьбой отправить SMS для разблокировки доступа.
Как побороть «информер»
Если вы подхватили «информер» и пользуетесь браузером Internet Explorer, то отправляйтесь сюда: Сервис / Управление надстройками (в английском варианте: Tools / Manage Add-ons). В открывшемся окне в выпадающем списке нужно выбрать «Надстройки, загруженные в Internet Explorer» (Add-ons currently loaded in Internet Explorer).
Далее прокручиваем список надстроек и отключаем все подозрительные. В первую очередь те, которые оканчиваются на lib.dll, например, nhslib.dll. Не бойтесь отключить что-то лишнее – это легко восстановить. Затем браузер нужно закрыть и удалить из папки WindowsSystem32 все файлы с названиями подозрительных надстроек. Дополнительно можно почистить реестр Windows. Для этого в меню «Пуск» выберете пункт «Выполнить» и введите туда regedit. В открывшемся окне редактора войдите в меню Правка / Найти и введите имя надстройки. Все, что будет найдено нужно удалить. Теперь Internet Explorer чист и свободен.
Если вы пользуетесь браузером Mozilla Firefox, то необходимо пройти сюда: Инструменты / Дополнения (Tools / Add-ons).
В открывшемся окне нужно последовательно проверить все вкладки на предмет наличия чего-нибудь подозрительного. Как и в случае c IE не нужно бояться отключить лишнее.
Наконец, пользователям браузера Opera нужно зайти в Настройки / Общие настройки (Settings / Preferences), выбрать в открывшемся окне закладку Расширенные (Advanced), в ней найти пункт Содержимое (Content) и нажать кнопку Настроить JavaScript (JavaScript Options).
Все, что находится в поле «Папка пользовательских файлов JavaScript» (User JavaScript files), нужно удалить.
Как разблокировать доступ к сайтам
Если вместо популярных сайтов, например, «Яндекс», Mail.ru, «Вконтакте» или «Одноклассники» у вас на экране появляется предложение пройти некую активацию, это значит, что пойманный вами троян отредактировал на компьютере файл hosts.
Файл находится здесь: Windows / System32 / drivers/ etc / hosts. Откройте его в «Блокноте» и вы увидите список всех заблокированных сайтов. Он может насчитывать несколько десятков пунктов вида «82.146.44.61 vkontakte.ru». Удалите этот список, оставив лишь одну строку – «127.0.0.1 localhost», и все сайты после перезагрузки чудесным образом заработают вновь.
Если не заработали, значит троян опять отредактировал hosts. Это также значит, что он находится в автозагрузке системы и удалить его оттуда можно вручную, как это было описано в предыдущей статье, либо с помощью антивирусов. Попробуйте бесплатные утилиты CureIT от Dr. Web или Virus Removal Tool от «Лаборатории Касперского».
Источник
P.S. Всё это интересно и полезно! За последние два года встретился с блокировкой системы и блокировкой браузера и, оба раза воспользовался
Kaspersky Rescue Disк. Быстренько загрузился с него, сканировал все жёсткие диски на машине. В обоих случаях система загрузилась после окончания работы Rescue - диска, потом в safe mod (безопасный режим), просканил винт утилитой AVZ, которая может не только найти и удалить заразу, но и ликвидировать последствия её деятельности на машине.
Rescue - диски, от других производителей антивирусов, не пробовал, но думаю в своей функциональности они друг-другу не уступают. Такой инструмент должен быть в хозяйстве у любого пользователя, уважающего своего железного друга!:smile3D:
В интернете появился "полицейский" троян-вымогатель для Windows
Ответить с цитированием
Социальные закладки