Снятие троянов-блокировщиков

В данной статье мы попробуем снять некоторые версии троянов-блокировщиков без использования сторонних программ

На данный момент получили огромное распространение трояны-блокировщики (они же трояны-вымогатели, trojan.winlock). В основном, смысл вируса прост — получить от вас некоторое количество денег либо через SMS, отправленное на платный номер (сейчас такие вирусы встречаются все реже, т.к. смс-платежи легче отследить), либо просто вас просят пополнить счет какого-нибудь мобильного номера. Сумма варьируется от 200 до 900 рублей, в зависимости от наглости вирусописателя. На рисунке ниже изображен один из вариантов WinLOCK-а. Иногда злоумышленники мотивируют оплату просмотром порно (лучше с элементами педофилии), а также ссылаются на всякие законы и грозятся удалить данные с компьютера. На некоторых есть счетчики с обратным отсчетом — для создания искусственного «дефицита времени». Сейчас мы попробуем снять Winlock не имея загрузочных дисков и дополнительных программ.

Windows WinLOCK

Рис. 1. Типичный WinLOCK — Троян блокировщик

В итоге получилось — система не работает. Вместо рабочего стола висит окно (по типу того что указанно на рисунке). Кроме «ввода кода разблокировки» вообще ничего не работает. Сразу хотим предупредить: ДАЖЕ НЕ ДУМАЙТЕ ПОПОЛНЯТЬ СЧЕТ ЗЛОУМЫШЛЕННИКА — этим вы только помогаете им найти более профессиональных программистов для создания более изощеренных способов отбора денег у пользователей.

Предположим, блокировщик закрыл вход в систему. Нам потребуется другой компьютер с выходом в интернет. Заходим на сайт http://sms.kaspersky.ru/ — база данных разблокировки Касперского. http://www.drweb.com/unlocker/mobile — база данных Данилова. Вводим в текстовые поля номер, на который просят положить деньги и, возможно, получаем код разблокировки.

Разблокировка трояна-вымогателья касперский

Рис. 2. Попытка разблокировки через сайт Касперского

Если коды не подходят или разблокировка вообще не возможна:
Сначала попробуем справится голыми руками — некоторые вирусы написаны настолько непрофессионально, что снять его, действительно, не проблема. Нужно запустить Редактор реестра и консоль Windows
У нас заблокирована система — пять раз нажимаем SHIFT на клавиатуре. Дальше все зависит от системы.

Если у нас Windows XP — то нажимаем параметры (рис. 3) на знак вопроса в верхнем правом углу. Нажимаем на «Параметры». Открывается желтое окошко подсказки. На нем нажимаем правой кнопкой мыши -> Печать раздела. Получаем окно Печати.

Пятикратное нажатие шифт

Рис. 3. Удаление Winlock в Windows XP — Залипание клавиш

Выбираем «Установка принтера» — «Далее» — «Установка с диска». В открывшемся окне в графу «имя файла» вводим * (звездочка) и нажимаем Enter — теперь окно отображает все файлы. Находим C:\Windows\Regedit.exe — редактор реестра windows.
Если у вас Windows 7 и окно «Залипание клавиш» после нажатия SHIFT пять раз открылось, тут все проще — нажимаем ссылку «Перейти в центр специальных возможностей, чтобы отключить сочетание клавиш» — а в адресной строке открывшегося окна запускаем C:\Windows\Regedit.exe

Идем на HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
смотрим значение ключа USERINIT — оно должно быть «C:\Windows\system32\userinit.exe,», смотрим «shell» — значение «explorer.exe» — если что то не так — возвращаем нормальные значения и запоминаем, где лежит вирус и как его зовут.

Удаление трояна блокировщика через реестр

Рис.4. Незараженная трояном система — так должно быть

Запускаем C:\Windows\System32\CMD.EXE — консоль Windows. Даем команду — tasklist — список процессов. Находим там название вируса-блокировщика

Консоль со списком процессов Windows

Рис.5. Список процессов в консоли Windows

Даем команду taskkill /im ИМЯВИРУСА.exe — окно трояна исчезает.
Теперь давайте удалим вирус del «C:\…и полный путь к вирусу из ключей реестра…»

На всякий случай, еще раз проверьте ключи реестра с помощью REGEDIT — вдруг он обновляется раз в несколько секунд.
Перезагружаете компьютер и пользуетесь системой дальше.

Если данная инструкция не помогла, нужно будет лечить компьютер с помощью специального программного обеспечения — об этом наша следующая статья…

 

Специалисты службы компьютерной помощи «Джинн«


Январь 15, 2015 в 15:06 | Нет комментариев