как убрать винлокер с windows 10
Винлокеры — удаление, когда больше нечего делать
История винлокеров тянется уже давно. Особенно было интересно в декабре 2009 — январе 2010 с появлением семейства Digitala. Интересно потому, что умудриться организовать заражение с функционалом руткита ZeroAccess (Get Accelerator) или выполнять подгрузку вредоносной библиотеки из ADS-потока с контролем и блокировкой антивирусных процессов (iLite Net Accelerator) — это, знаете ли, не политики проводника менять и userinit дописывать! А идея дропаться после связи с командным сервером — в итоге сейчас старые дропперы не работают, а прекрасно работали ещё в феврале? Мда, обнищал нынче народ на идеи — ну да ладно! 🙂
Речь пойдёт не о «монстрах» дела блокировки Windows, а о куда более убогих их собратьях, коих процентов 90. Итак, ситуация: у Вас весёлое окно с вымогательством и нерабочая система.
1. Попробуйте узнать код разблокировки с помощью вот этого сервиса (или вот этого и вот этого). Если код не поможет, продолжайте по следующим пунктам. Если поможет — переходите сразу к пункту 5.
2. Если можно запустить софт с окном блокиратора — делаем логи, выкладываем там же, почистить можно 🙂 Запуск можно сделать с помощью вот этой информации, хотя и не всегда помогает.
3а. Если запускаться не удаётся — грузимся в безопасном режиме.
3б. Если безопасный заблокирован — грузимся с LiveCD.
И в 3а и в 3б заходим в папки:
C:\Documents and Settings\All Users\
C:\Documents and Settings\Имя_Пользователя
C:\Documents and Settings\Имя_Пользователя\Application Data
C:\Documents and Settings\Имя_Пользователя\Local Settings
C:\Documents and Settings\Имя_Пользователя\Local Settings\Application Data
C:\Documents and Settings\Имя_пользователя\Главное меню\Программы\Автозагрузка
и аккуратно упаковываем в архив все exe-файлы, после чего их удаляем. Удобнее всего это сделать, организовав поиск в папках по маске «*.exe», потому что нужно проверить вложенные папки по этим путям тоже.
4. Упаковываем в zip-архив и удаляем абсолютно всё здесь:
C:\Documents and Settings\Имя_пользователя\Local Settings\Temporary Internet Files
C:\Documents and Settings\Имя_пользователя\Local Settings\Temp
C:\WINDOWS\Temp
C:\Temp
5. Пробуем загрузиться в нормальном режиме. Если удалось — сразу делаем логи, выкладываем там же.
Почему так важно провести сбор логов даже если окажется, что Вы удалили зловред, угадав код или вручную удалив файлы? Дело в том, что в своё время было достаточно много винлокеров-пустышек, удалявшихся достаточно просто при вводе любого кода. Или же в сети на каждом углу «гремел» рецепт удаления такого зловреда. Все его выполняли и чувствовали себя кулхацкерами, уделавшими вирмейкера. Как бы не так!
Суть таких пустышек была не заблокировать систему, а установить на не другой вредоносный файл, например, ZBot. При этом после «лечения» радостный пользователь даже не предполагал, что на самом деле он остался заражён.
Как разблокировать windows, удалить winlocker
1. Нажать комбинацию клавиш, которая открывает диспетчер задач. ( ctrl + alt + del ), завершить ненужные задачи.
2. Можно попробовать запустить меню «выполнить» сочетанием клавиш Win + R. Выполнить команду regedit, если открылся редактор реестра, то читаем дальше.
3. Если первые два варианта заблокированы, то запускаем систему в безопасном режиме. (при загрузке нажимаем F-8)
Выбираем безопасный режим с поддержкой командной строки. При запуске компьютера в безопасном режиме не запускаются никакие программы, которые прописаны в автозагрузке и запускаются автоматически.
Теперь нам надо в командной строке прописать команду regedit, чтобы запустить редактор реестра.
Далее переходим по веткам системного реестра, отвечающие за автозагрузку :
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
2. HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
Убираем ненужные и незнакомые программы, которые автоматически загружаются.
Эти программы (если есть), убирать не нужно:
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\igfxpers.exe
3. HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon
В этом разделе реестра также содержатся значения параметров, отвечающих за автозапуск различных приложений при входе пользователя в систему:
Нам нужны параметр Shell и Userinit.
В параметре Shell должно быть прописано explorer.exe
Если в этих параметрах стоит другое значение, то запоминаем или записываем его ( это есть путь к самому винлокеру, он прячется по этому адресу. )
Меняем значения на такие, которые должны быть.
Мы только удалили автозапуск вируса. Теперь, чтобы разблокировать windows, нужно удалить сам винлокер ( winlocker ).
Но если его не найдете, то можете и не удалять, он все равно не запустится уже при загрузке системы. 😉
Для этого закрываем редактор реестра, в командной строке вводим команду explorer.exe Откроется проводник.
Идём по пути, записанным вами ранее (тот путь, который был записан вместо верных значений), находим и удаляем винлокер ( winlocker ).
Но вирус может прописаться в скрытых системных папках и файлах. Для этого нужно разблокировать доступ к скрытым файлам и папкам в проводнике :
В проводнике — упорядочить / параметры папок и поиска / вид / показывать скрытые файлы, папки и диски.
Показывать скрытые файлы, папки и диски в Windows 7
В проводнике — меню / Сервис / Свойства папки / Вид, в появившемся окне удалить галочку напротив скрывать защищённые системные файлы,
ставим галочку показывать скрытые файлы и папки.
Показывать скрытые файлы, папки и диски в Windows Xp
Чтобы полностью разблокировать windows, идём по пути, записанным вами ранее (который был записан вместо верных значений — вместо userinit.exe или explorer.exe), находим и удаляем винлокер ( winlocker ).
После перезагрузки компьютера проблема исчезнет.
Чтоб таких проблем больше не было, рекомендую установить StartupMonitor
Как разблокировать Windows от вируса-вымогателя
Наверняка, каждый четвертый пользователь персонального компьютера сталкивался с различным мошенничеством в интернете. Один из видов обмана – это баннер, который блокирует работу Windows, шифрует файлы и требует отправить СМС на платный номер или требует криптовалюту. По сути это просто вирус.
Чтобы бороться с баннером-вымогателем, нужно понять, что он собой представляет и как проникает в компьютер. Обычно баннер выглядит так:
Но могут быть и другие всевозможные вариации, но суть одна – жулики хотят заработать на вас.
Пути попадания вируса-шифровальщика в компьютер
Первый вариант «заражения» — это пиратские приложения, утилиты, игры. Конечно, пользователи интернета привыкли получать большинство желаемого в сети «на халяву», но при загрузке с подозрительных сайтов пиратского ПО, игр, различных активаторов и прочего, мы рискуем заразиться вирусами. В этой ситуации обычно помогает хороший рабочий антивирус.
Windows может быть заблокирован из-за скачанного файла с расширением «.exe». Это не говорит о том, что нужно отказываться от загрузки файлов с таким расширением. Просто помните, что «.exe» может относиться только к играм и программам. Если вы качаете видео, песню, документ или картинку, а в её названии на конце присутствует «.exe», то шанс появления баннера вымогателя резко возрастает до 99.999%!
Есть ещё хитрый ход с, якобы, необходимостью обновления Flash плеера или браузера. Может быть так, что вы будете работать в интернете, переходить со странички на страничку и однажды обнаружите надпись что «ваш Flash плеер устарел, обновитесь пожалуйста». Если вы кликаете на этот баннер, и он вас ведёт не на официальный сайт adobe.com, то это 100% вирус. Поэтому проверяйте, прежде чем кликнуть по кнопку «Обновить». Лучшим вариантом будет игнорирование подобных сообщений вовсе.
Как разблокировать Windows 7/8/10
Один из простых вариантов убрать баннер-вымогатель – это переустановка операционной системы. Помогает 100%, но переустанавливать Windows имеет смысл тогда, когда у вас нет важных данных на диске «С», которые вы не успели сохранить. При переустановке системы, все файлы удалятся с системного диска. Поэтому, если у вас нет желания заново устанавливать программное обеспечение и игры, то вы можете воспользоваться другими способами.
После лечения и успешного запуска системы без баннера вымогателя нужно провести дополнительные действия, иначе шифровальщик может снова всплыть, или просто будут некоторые проблемы в работе системы. Всё это есть в конце статьи. Вся информация проверена лично мной! Итак, начнем!
Kaspersky Rescue Disk + WindowsUnlocker нам поможет!
Будем использовать специально разработанную операционную систему. Вся сложность в том, что на рабочем компьютере нужно скачать образ и записать его на флешку или на компакт-диск (пролистайте статьи, там есть).
Когда это будет готово, нужно загрузиться с внешнего носителя. В момент запуска появится небольшое сообщение, типа «Press any key to boot from CD or DVD». Здесь нужно нажать любую кнопку на клавиатуре, иначе запустится заражённый Windows.
При загрузке нажимаем любую кнопку, затем выбираем язык – «Русский», принимаем лицензионное соглашение с помощью кнопки «1» и используем режим запуска – «Графический». После запуска операционной системы Касперского не обращаем внимания на автоматически запустившийся сканер, а идём в меню «Пуск» и запускаем «Терминал»
Откроется чёрное окошко, куда пишем команду:
Откроется небольшое меню:
Выбираем «Разблокировать Windows» кнопкой «1». Программа сама всё проверит и исправит. Теперь можно закрыть окно и проверить, уже запущенным сканером, весь компьютер. В окошке ставим галочку на диске с ОС Windows и жмём «Выполнить проверку объектов»
Ждём окончания проверки (может быть долго) и, наконец, перезагружаемся.
Если у вас ноутбук без мышки, а тачпад не заработал, то предлагаю воспользоваться текстовым режимом диска Касперского. В этом случае после запуска операционной системы нужно сначала закрыть открывшееся меню кнопкой «F10», затем ввести в командной строке всё ту же команду: windowsunlocker
Разблокировка в безопасном режиме, без специальных образов
Сегодня вирусы-шифровальщики типа Winlocker поумнели и блокируют загрузку Windows в безопасном режиме, поэтому скорей всего у вас ничего не получится, но если образа нет, то пробуйте. Вирусы бывают разные и у всех могут сработать разные способы, но принцип один.
Вот сюда мы должны попасть и выбрать нужную строку:
Далее, если всё пойдёт хорошо, то компьютер загрузится, и мы увидим рабочий стол. Отлично! Но это не значит что теперь всё работает. Если не удалить вирус и просто перезагрузиться в нормальном режиме, то банер снова всплывёт!
Лечимся средствами Windows
Нужно восстановить систему до ближайшей точки восстановления, когда баннера блокировщика ещё не было. Внимательно прочитайте статью и сделайте всё что там написано. Под статьёй есть видео.
Если не помогло, то нажимаем кнопки «Win+R» и пишем в окошке команду чтобы открыть редактор реестра:
Если же вместо рабочего стола запустилась чёрная командная строка, то просто вводим команду «regedit» и жмём «Enter». Нам предстоит проверить некоторые разделы реестра на наличие вирусных программ, или если быть точнее – вредоносного кода. Для начала этой операции зайдите вот по этому пути:
Теперь по порядку проверяем такие значения:
Если ОС установлена на другой диск, отличный от C:, то соответственно и буква там будет другая. Чтобы изменить неправильные значения, нажмите правой кнопкой мыши по строчке, которую нужно отредактировать, и выберите пункт «изменить»:
Здесь вообще не должно быть ключей Shell и Userinit, если есть – удаляем их.
Дальше нужно удалить все подозрительные ключи, запускаемые файлы с непонятными именами, типа «skjdghsdkj.exe», в таких ветках реестра:
Если не уверены, нужно ли удалять ключ, можно просто к параметру вначале дописать единичку «1». Путь окажется с ошибкой, и эта программа просто не запустится. Потом можно будет вернуть как было.
Теперь нужно запустить встроенную утилиту очистки системы, делаем это так же, как запускали редактор реестра «regedit», но пишем:
Выбираем диск с операционной системой (по умолчанию C:) и после сканирования отмечаем все галочки, кроме «Файлы резервной копии пакета обновления»
И жмём «ОК». Этим действием мы, возможно, отключили автозапуск вируса, а дальше нужно почистить следы его пребывания в системе, а об этом – читайте в конце статьи.
Утилита AVZ
Заключается в том, что в безопасном режиме мы запустим известную антивирусную утилиту AVZ. Кроме поиска вирусов программа имеет просто массу функций исправления системных проблем. Этот способ повторяет действия по заделыванию дыр в системе после работы вируса, т.ч. для ознакомления с ним переходим к следующему пункту.
Исправление проблем после удаления вируса-вымогателя
Поздравляю! Если вы это читаете, значит система запустилась без баннера. Теперь нужно скачать антивирусный сканер и проверить им всю систему. Если вы пользовались спасительным диском Касперского и провели проверку там, то этот пункт можно пропустить.
Ещё может быть одна неприятность, связанная с деятельностью злодея – вирус может зашифровать ваши файлы. И даже после полного его удаления вы просто не сможете воспользоваться своими файлами. Для их дешифрации нужно использовать программы с сайта Касперского: XoristDecryptor и RectorDecryptor. Там же есть и инструкция по использованию.
Но и это ещё не всё, т.к. винлокер скорей всего напакостил в системе, и будут наблюдаться различные глюки и проблемы. Например, не будет запускаться редактор реестра и диспетчер задач. Чтобы полечить систему воспользуемся программой AVZ.
Чтобы всё-таки скачать архив с программой, нужно перейти в «Загрузки» и там нажать «Скачать вредоносный файл» 🙂 Да, понимаю, что выглядит это немного глупо, но видимо хром считает, что программа может нанести вред обычному пользователю. И это правда, если тыкать там куда ни попадя! Поэтому строго следуем инструкции!
То же самое делаем и с «Приватностью», но здесь не ставьте галочки, которые отвечают за чистку закладок в браузерах и что вам ещё покажется нужным. Заканчиваем проверку в разделах «Чистка системы» и «Adware/Toolbar/Browser Hijacker Removal».
Выше я уже сказал, что этот раздел статьи также является одним из способов лечения Windows от банера-вымогателя. Так вот, в этом случае скачать программу нужно на рабочем компьютере и затем записать на флешку или на диск. Все действия проводим в безопасном режиме. Но есть ещё один вариант запустить AVZ, даже если не работает безопасный режим. Нужно запуститься, из того же меню при загрузке системы, в режиме «Устранение неполадок компьютера»
Если оно у вас установлено, то будет отображаться на самом верху меню. Если там нет, то попробуйте запустить Виндовс до момента появления баннера и выключить компьютер из розетки. Затем включите – возможно будет предложен новый режим запуска.
Запуск с установочного диска Windows
Если ничего не помогает
Относится к случаям, когда вы, по каким-то причинам, не можете загрузиться с флешки с записанным образом Касперского или программой AVZ. Вам остаётся только достать из компьютера жёсткий диск и подключить его вторым диском к рабочему компьютеру. Затем загрузиться с НЕЗАРАЖЁННОГО жёсткого диска и просканировать СВОЙ диск сканером Касперского.
Никогда не отправляйте СМС-сообщения, которые требуют мошенники. Каким бы ни был текст, не отправляйте сообщения! Старайтесь избегать подозрительных сайтов и файлов, а вообще почитайте об основах безопасности в интернете и лучших способах защиты от RANSOMWARE. Следуйте инструкции, и тогда ваш компьютер будет в безопасности. И не забывайте про антивирус и регулярное обновление операционной системы!
Вот видео, где всё видно на примере. Плейлист состоит из трёх уроков:
PS: какой способ помог Вам? Напишите об этом в комментариях ниже.
Как удалять винлокер
При включении нужно нажать F8.Или просто выдернуть из розетки и включить.
Потом нужно зайти в безопасный режим с поддержкой командной строки. Если получилось, то нужно ввести explorer.exe.
Теперь нажать Win+R и набрать regedit.И зайти в ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon
Там в папраметре Shell написан путь к вирусу. Открываем папку с вирусом.
А там вместо пути к вирусу пишем explorer.exe
Теперь нужно заменить путь к Userinit.
Там должно быть C:\Windows\system32\userinit.exe,
(с запятой, а то при загрузке виндовс будут открыватся библиотеки)
Теперь нужно зайти в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
И удалить вирус из автозагрузки.
Теперь можно удалять сам вирус. И заодно его копии (можно найти в поиске, если они есть)
Обычно вирус находится в папке Temp,в аппдате. В аппдату можно попасть через
Win+R>%appdata%\,попадете в папку Romaning из нее можно перейти в Appdata.
При включении нужно нажать F8.Или просто выдернуть из розетки и включить.
Потом нужно зайти в безопасный режим с поддержкой командной строки. Если получилось, то нужно ввести explorer.exe.
Теперь нажать Win+R и набрать regedit.И зайти в ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon
Там в папраметре Shell написан путь к вирусу. Открываем папку с вирусом.
А там вместо пути к вирусу пишем explorer.exe
Теперь нужно заменить путь к Userinit.
Там должно быть C:\Windows\system32\userinit.exe,
(с запятой, а то при загрузке виндовс будут открыватся библиотеки)
Теперь нужно зайти в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
И удалить вирус из автозагрузки.
Теперь можно удалять сам вирус. И заодно его копии (можно найти в поиске, если они есть)
Обычно вирус находится в папке Temp,в аппдате. В аппдату можно попасть через
Win+R>%appdata%\,попадете в папку Romaning из нее можно перейти в Appdata.
Вариант 6. Если на Рабочем столе красуется баннер и ничего не работает, а при одновременном нажатии клавиш CTRL ALT DEL Диспетчер задач запускается и закрывается через долю секунды (грубо говоря моргает), то не всё так плохо! Делаем следующее- Зажимаем все три кнопки CTRL ALT DEL и не отпуская пробуем найти и закрыть эту заразу в процессах (вторая слева вкладка, выбираем подозрительный процесс и нажимаем кнопку Завершить процесс справа внизу окна). Ну а дальше Вариант 1-3 Вам в помощь! И не бойтесь чего испортить. Максимум компьютер повиснет.
Вариант 7. Заходим в БИОС компьютера и пробуем перевести часы компьютера на несколько дней вперёд. Бывает, что информер или баннер пропадает (редко, но бывает помогает).
Цитата с официального сайта:
«Диск аварийного восстановления системы
Если действия вредоносных программ сделали невозможной загрузку компьютера под управлением Windows или Unix, восстановите работоспособность пораженной системы бесплатно с помощью Dr.Web LiveCD!
Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и скопировать важную информацию на сменные носители или другой компьютер, а также попытается вылечить зараженные объекты.»
Цитата с официального сайта:
«Dr.Web LiveUSB — продукт, позволяющий провести аварийное восстановление операционной системы с помощью загрузочного USB-накопителя.
Предназначен для работы в операционных системах Windows (32- и 64-битные версии). Для загрузки с флеш-накопителя BIOS вашего компьютера должен поддерживать устройство USB-HDD в качестве загрузочного.»
Цитата с официального сайта:
«Kaspersky Rescue Disk предназначен для проверки и лечения зараженных x86 и х64-совместимых компьютеров. Программа применяется при такой степени заражения, когда не представляется возможным вылечить компьютер с помощью антивирусных программ или утилит лечения (например, Kaspersky Virus Removal Tool), запускаемых под управлением операционной системы. При этом эффективность лечения повышается за счет того, что находящиеся в системе вредоносные программы не получают управления во время загрузки операционной системы.»
ERD Commander 5.0
Образ загрузочного диска со всеми необходимыми средствами для удаления баннеров, вымогалок и информеров.
— редактор реестра восстанавливаемой системы
— откат системы до ранее созданной точки восстановления
— управление дисками
— средство сброса системных паролей
— редактор автозагрузки
— управление службами и драйверами
— просмотр системных событий
Ссылка на программы записи образов находится выше.