Комп'ютери & Інтернет » Безпека
Автор ради: Артем Аленін Дата публікації: 20.07.2012
На даному сайті вже є стаття на дану тему від іншого учасника, яка сильно застаріла. У даній статті я приведу вам універсальні способи усунення вірусу. На власному досвіді я переконався, що жертв подібних вірусів дуже багато. І більшість людей вирішують проблему кардинально - перевстановлюють Windows, хоча в 99,9% випадків можна обійтися "малою кров'ю", тобто видалити вірус без переустановлення системи і, відповідно, втрати багатьох програм і налаштувань.
Увага! У статті буде велика велика кількість комп'ютерних термінів і технічної інформації. Якщо ви новачок в комп'ютерах, то дайте її прочитати своєму знайомому не новачки, якій після прочитання статті полагодить комп'ютер вам і сам набереться знань. Або відвідайте комп'ютерний форум http://www.hardforum.ru/t21083/ , Де ви зможете дізнатися для себе багато нового про комп'ютери та комп'ютерних термінах, а також запитати рада знаючих людей. Однак, я все одно постараюся описати проблему і способи її вирішення зрозумілою мовою.
Що це за вірус?
Як правило, віруси такого типу називаються Trojan.winlocker або просто Winlock. Однак, подібні віруси часто змінюють свою структуру і тип роботи, а тому їх прийнято називати узагальнюючим терміном «Ransomware» (перекладається приблизно як «віруси, що вимагають викуп»).
Виглядає вірус приблизно так
Працює вірус таким чином: перед вами вискакує ось такий банер, який можна закрити або прибрати стандартними засобами. При цьому, такий вірус блокує всю панель інструментів і інтерфейс. Ви бачите тільки банер поверх шпалер робочого столу.
На банері написано, що ви зробили щось погане, що порушує закон. Може бути написано, що у вас піратська Windows, або те, що на вашому комп'ютері знайшлася дитяча порнографія і т.д. А щоб прибрати банер, потрібно або відправити дороге СМС на короткий номер (тоді вам прийде пароль розблокування), або ж пропонується поповнити рахунок чогось мобільного телефону на суму близько 500 рублів (типу тоді на чеку оплати ви побачите код). Чи варто говорити, що все це обман і розлучення. Навіть якщо у вас стоїть ліцензійний Windows, навіть якщо у вас на комп'ютері немає нічого непристойного і ви не дивилися нічого непристойного в мережі, то вірус все одно покаже вам такий банер.
До того ж, на банері буде написано, що якщо ви не введете пароль / код, то всі ваші дані на комп'ютері та BIOS будуть видалені. Як правило, вам дається термін в 24 години. І знову ж таки - це обман. Такий банер нічого не видалить на вашому комп'ютері (і вже тим більше BIOS - це неможливо). А тому, якщо ви виявили у себе такий банер - спокійно виключаєте комп'ютер і дотримуйтесь порад в даній статті.
До речі, якщо ви навіть заплатите / відправите СМС - тобто 90% шанс, що прийшов код не підійде (або швидше за все код взагалі не прийде). Однак код може і підійти, але вірус не буде видалений, а значить через тиждень він з'явиться знову.
Хоча зустрічаються і «сумлінні віруси», до яких код підійде і вони видалять себе, але, повторюся, в 90% випадків цього не проізвойдет і витрачені вами гроші нічого на комп'ютері не змінять.
Як позбутися від вірусу?
Спосіб 1. Проста перезавантаження
Спробуйте просто перезавантажитися. Так, так ... по інтернету все ще ходять старі і нерозвинені модифікації вірусу (написані Криворук людьми). Якщо після перезавантаження комп'ютер нормально запустився, то перевірте комп'ютер антивірусами.
Спосіб 2. Безпечний режим
Більшість сучасних блокувальників запускаються і в безпечному режимі, але спробувати варто. Вимкніть комп'ютер, а при запуску натисніть клавішу F8. Однак на всіх комп'ютерах клавіша запуску подібного меню різна. А тому, при включенні комп'ютера починайте натискати на всі кнопки від F1 до F9 поспіль. Загалом, перед вами має з'явитися ось таке вікно
Далі натисніть Вгору і Вниз вибираєте «Безпечний режим». Якщо система завантажилася нормально, то перевіряєте комп'ютер антивірусами. Якщо немає, то вибираєте режим «Безпечний режим з підтримкою командного рядка». Якщо все нормально запустився, то вводите regedit. Далі прямуєте Способу 3.
Спосіб 3. Редагування реєстру
Якщо у вас вийшло зайти в систему, в обхід вірусу, то натискаєте одночасно дві клавіші Win + R. У вікні, вводите regedit. Після чого, вам відкриється вікно редагування реєстру.
Дане вікно схоже на Провідник. В панелі зліва ви можете вибирати гілки реєстру (як вибираєте подпапки). Вірус прописує себе в певні гілки реєстру, що дозволяють йому запускатися навіть в безпечному режимі.
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
У даній гілці дивимося два параметра Shell і Userinit.
У значенні Shell має бути написано explorer.exe, а в значенні Userinit - userinit.exe, (обов'язково з коми). Щоб переписати значення, потрібно двічі клацнути по ньому. Якщо замість потрібних значень написано щось інше, то це назва вірусу. Запам'ятовуємо назва вірусу, щоб потім можна було знайти його звичайним пошуком і видалити.
До речі, вірус може підмінити деякі букви на кириличні. Наприклад, e x plorer.exe, де замість англійської x (ікс), варто російське х. А тому, все одно їх слід ввести заново.
Однак минули ті щасливі часи, коли вірус прописувався тільки в ці гілки. Тому, якщо в вищевказаних гілках все нормально, то дивіться ці гілки:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run і
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
У цих гілках вказані програми, які запускаються при старті системи. Знайшли щось дивне - видаляєте.
Плюс так само можна подивитися
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
Якщо банер блокує не Windows, а браузер Internet Explorer, то очистіть гілку
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \
Також шукайте підозрілі назви в гілках:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices \
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ Імя_прогамми \
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options
Якщо ви позбулися банера, але редактор реєстру заблокований і не працює диспетчер задач, то дивимося гілку
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
У даній гілці шукаємо значення:
DisableRegistryTools
DisableRegedit
DisableTaskMgr
І присвоюємо їм значення 0.
Спосіб 4. Живий диск. жива флешка
Можете запуститися з живого диска або з флешки і також відредагувати реєстр, як в Способі 3.
Якщо лінь шукати відповідний вам образ диска і завантажувати його, то можна скористатися утилітою Kaspersky Rescue Disc. За цим посиланням ви зможете прочитати всі інструкції і завантажити все необхідне. У підсумку, ви створите завантажувальну флешку. На сайті сказано, як запустити з неї систему. Після запуску системи з флешки, ви можете перевірити комп'ютер на віруси, а заодно вибрати утиліту Kaspersky Registry Editor. Це такий же редактор реєстру, а тому дотримуйтесь Способу 3.
Спосіб 5. Шукаємо за назвою
Якщо у вас встановлено дві системи на одному комп'ютері, або маніпуляції з реєстром не допомогли. Якщо вам навіть не допомогли живий диск і антивіруси, тобто дитячий спосіб.
Більшість банерів перекривають не весь робочий стіл. А тому, якщо спробувати викликати диспетчер задач клавішами Alt + Ctrl + Del, то він з'явиться на частку секунди, а потім зникне. А тому, ви просто затискаєте ці три клавіші і диспетчер задач почне як би моргати. Ви не зможете проводити з ним ніяких маніпуляцій, зате зможете побачити підозрілий процес. Запам'ятовуєте це підозріле назву. Потім завантажуєтесь з іншої системи або з живого диска / флешки і в меню звичайного пошуку файлів вводите цю назву. Якщо знайшли - видаляємо.
Правда є і такі віруси, які працюють у такий спосіб. До вірусу прикріплена dll - бібліотека, яка постійно створює виконуваний файл вірусу під різними назвами. В такому випадку, назва вірусу завжди буде різним.
Спосіб 6. Шукаємо за датою
Якщо не знайшли за назвою, то шукайте за датою. Завантажуєтесь з живого диска / флешки і задаєте порожній пошук, але в особливих умовах вкажіть дату зміни. Тобто в даті зміни пишемо день зараження. Після закінчення пошуку, система покаже вам безліч файлів. Шукаємо підозрілі. Підозрілі носять розширення .exe або .swf. Підозрілі файли мають також довгі назви. Більшість вірусів мають вигляд 0.nnnnnnnn, де n - це будь-яке число. Іноді це просто довгий набір букв і цифр.
До речі, можете видалити всі файли, які видав вам пошук. Системних файлів серед них не буде.
Спосіб 7. Деблокіратор
Можна зайти на сайти доктора Веба або Касперського, де за номером зазначеного на банері телефону або по фотографії, ви зможете підібрати код деактивації. А вже потім, після деактивації - перевірте антивірусом або дотримуйтесь способу 3.
посилання:
https://www.drweb.com/xperf/unlocker/
http://sms.kaspersky.ru/
https://www.drweb.com/xperf/unlocker/gallery/
Спосіб 8. ERD Commander і AntiWinlocker
Це спеціальні образи з зрозумілим навіть простому користувачеві інтерфейсом. Завантажуєте і встановлюєте їх на диск або флешку, завантажуєтесь з них і прямуєте інструкцій.
посилання:
http://www.antiwinlocker.ru/download.html - АнтіВінлокер
ERD Commander можете знайти на трекерах.
Спосіб 9. Юридичний
Як юрист, я просто зобов'язаний розповісти вам спосіб, який не тільки позбавить вас від вірусу, але ще і доставить багато неприємностей творцям.
Головний мінус для розробника блокувальника - це номер телефону, вказаний в банері. Якщо вас просять покласти грошей на чийсь номер або просять відправити СМС, то можете подати заяву в поліцію із зазначенням цього номера. Якщо поліція не прийме заяву, то телефонуйте телефонному оператору, якому належить цей телефон. «Бикуйте» і загрожуйте оператору судом - оператор повинен назвати вам або контактні дані для подальшого розгляду, або подасть заяву в поліцію разом з вами. Якщо і там вас послали, то подайте заяву в прокуратуру, напишіть позов до суду, подайте заяву в поліцію. Загалом, подайте заяви в усі інстанції.
В даному способі є багато мінусів. По-перше, вам доведеться залишити вірус на комп'ютері в якості доказу. По-друге, процес триватиме довго і не факт, що буде вирішене. По-третє, чи готові ви витратити багато вільного часу, заради «дурного» вірусу? Саме тому творців таких вірусів просто ніхто не шукає. У такій великій кількості блокувальників винні самі користувачі з пасивної громадянською позицією.
Спосіб 10. MBR
Є віруси, які прописують себе в спеціальну завантажувальну область на жорсткому диску. Таким чином, вірус запускається навіть раніше самої системи. Тобто на чорному екрані, білими літерами буде написано те ж, що і в звичайних блокувальників. Однак такий вірус вже не видалити за допомогою стандартних маніпуляцій з реєстром. Вам потрібен диск, з якого ви встановлювали Windows. Якщо такого немає, то скачайте в інтернеті образ того Windows, який стоїть у вас, і запишіть образ на диск або флешку. Вставте диск з Windows. Заходьте в консоль відновлення (зазвичай клавіша R) і пишіть fixmbr. Потім для згоди натискаємо «Y» (Yes), далі натискаємо Enter. Таким чином, завантажувальна область у вас відновиться на звичайну.
підсумок
Захиститися від блокувальників одночасно важко і просто. З одного боку, сучасні види блокувальників пропускаються майже всіма антивірусами. Більш того, через вразливостей більшості браузерів, зловити вірус можна навіть на перевірених і популярних сайтах.
Щоб захиститися, потрібно обмежити себе в правах. Якщо у вас встановлений Windows 7 / Vista, то включите UAC (Панель управління - Облікові записи користувачів - Зміни параметрів контролю). Після включення UAC, перед кожним вашим дією система буде вимагати вашої згоди. Тепер вірус не пройде! Але все, знову ж таки, не так просто. Більшості користувачів просто набридне перед кожною дією давати окремий дозвіл системі. До того ж UAC передбачає, що користувачам доведеться робити підозріло відповідальні рішення. Наприклад, якщо блокувальник вирішить запуститися, то UAC видасть повідомлення типу «Додаток systemf.exe намагається запуститися» і запропонує вам запустити його або скасувати. Як думаєте, чи будуть люди, які його запустять? Звичайно, будуть. Звичайний користувач не визначить вірус, виходячи з його назви.
А ще можна встановити плагін до браузера, який буде блокувати запуск скриптів на сайтах. Наприклад, плагін для Firefox - NoScript. І знову ж таки, проблема. Після встановлення плагіну, ви не зможете зайти на свої улюблені сайти, так як плагін за замовчуванням блокує всі скрипти! А значить, доведеться витрачати дорогоцінний час на тонке налаштування.
Чи варто ставати параноїком заради повного захисту свого комп'ютера - вирішувати вам.
І на цій веселій ноті я закінчую!
Дякую за увагу!
Останні поради розділу «Комп'ютери & Інтернет»:
Програма для відновлення видалених файлів
Завантажити ігри на Андроїд безкоштовно
Переваги дистанційного навчання
Як вибрати смартфон в 2018 році
Поради щодо вибору смартфона
Зовнішній акумулятор для смартфона: поради щодо вибору
Які бувають комп'ютери
Переваги смартфонів Xiaomi
Оренда сервера - особливості та переваги
Хостинг і його особливості
Вам допоміг цю раду? Ви можете допомогти проекту, пожертвувавши на його розвиток будь-яку суму на свій розсуд. Наприклад, 20 рублів. Або більше :)
Як позбутися від вірусу?Що це за вірус?
Як позбутися від вірусу?
По-третє, чи готові ви витратити багато вільного часу, заради «дурного» вірусу?
Як думаєте, чи будуть люди, які його запустять?