Как скрыть винлокер от антивируса

Обновлено: 08.07.2024

С помощью троянов семейства Winlock, известных как «блокировщики Windows», у рядовых пользователей вымогают деньги уже более пяти лет. К настоящему времени представители этого класса вредоносных программ серьёзно эволюционировали и стали одной из самых частых проблем. Ниже предлагаются способы самостоятельной борьбы с ними и даются рекомендации по предотвращению заражения.

Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом.

Разумеется, платить вымогателям не стоит. Вместо этого можно выяснить, какому оператору сотовой связи принадлежит указанный номер, и сообщить его службе безопасности. В отдельных случаях вам даже могут сказать код разблокировки по телефону, но очень рассчитывать на это не приходится.

Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом.

Голыми руками

Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний – смотрите примеры ниже.

После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt! или Kaspersky Virus Removal Tool.

Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш ++ или ++. Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.

Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.

Если диспетчер задач не вызывается, попробуйте использовать сторонний менеджер процессов через команду «Выполнить», запускаемую нажатием клавиш +. Вот как выглядит подозрительный процесс в System Explorer.

Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.

Типичное место локализации трояна – каталоги временных файлов пользователя, системы и браузера. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns.

Военная хитрость

Останется диалоговое окно «Сохранить изменения в файле?». С этого момента на время сеанса мы избавились от баннера и можем добить трояна до перезагрузки.

Старая школа

Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты.

В этом случае перезагрузите компьютер и удерживайте клавишу в момент загрузки Windows. Появится окно выбора способа загрузки. Нам требуется «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt). После появления консоли пишем explorer и нажимаем – запустится проводник. Далее пишем regedit, нажимаем и видим редактор реестра. Здесь можно найти созданные трояном записи и обнаружить место, откуда происходит его автозапуск.

Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке

В нём выбираем команду «вставить» и нажимаем . Один файл трояна удалён, делаем тоже самое для второго и последующих.

Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.

Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ.

Операция под наркозом

Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk. Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker.

Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.

При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это или , а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения и выйдите из BIOS.

Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме – смотрите пошаговую инструкцию на сайте разработчика.

Борьба на раннем этапе

Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.

Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:

После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.

В крестовый поход с крестовой отвёрткой

На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.

Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.

Если разделы внешнего жёсткого диска не видны, зайдите в «Управление дисками». Для этого в окне «Пуск» -> «Выполнить» напишите diskmgmt.msc и затем нажмите . Разделам внешнего жёсткого диска должны быть назначены буквы. Их можно добавить вручную командой «изменить букву диска…». После этого проверьте внешний винчестер целиком.

Для предотвращения повторного заражения следует установить любой антивирус с компонентом мониторинга в режиме реального времени и придерживаться общих правил безопасности:

  • старайтесь работать из-под учётной записи с ограниченными правами;
  • пользуйтесь альтернативными браузерами – большинство заражений происходит через Internet Explorer;
  • отключайте Java-скрипты на неизвестных сайтах;
  • отключите автозапуск со сменных носителей;
  • устанавливайте программы, дополнения и обновления только с официальных сайтов разработчиков;
  • всегда обращайте внимание на то, куда на самом деле ведёт предлагаемая ссылка;
  • блокируйте нежелательные всплывающие окна с помощью дополнений для браузера или отдельных программ;
  • своевременно устанавливайте обновления браузеров, общих и системных компонентов;
  • выделите под систему отдельный дисковый раздел, а пользовательские файлы храните на другом.

В статье приведены лишь основные методы и общие сведения. Если вас заинтересовала тема, посетите сайт проекта GreenFlash. На страницах форума вы найдёте множество интересных решений и советы по созданию мультизагрузочной флэшки на все случаи жизни.

[Гайд]Winlocker. Удалить и обезвредить

И так, давайте вначале разберем, что такое winlock :


Винлок - это семейство вредоносных программ, блокирующие или затрудняющие работу с ОС, которые требуют перечесление денежных средств злоумышленникам за востановление работоспособности вашего компьютера. Для перевода денег обычно используются короткие премиум - номера, но довольно часто данные программы требуют пополнение мобильного счета или электронного кошелька. Обычно, такие программы объясняют необходимость перевести деньги:
1) получением доступа или его продления на сайты +18
2) просмотром и тиражированием видео с педофилией.
3) активацией windows.

Часто в таких пишут следующее:
1) в случае не оплаты "штрафа" или не пополнения счета ваши данные будут удалены с жесткого диска.

Это чистая ложь. Я не разу не видел удаления файлов с винчестера или полной блокировки системы за весь опыт их удаления!

Пути распространения Winlockrerа и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре заражённых сайтов или через уязвимость ПО. Его получение возможно на любом сайте. Специальная программа может не заметно для вас скачать файл и поставить его в автозагрузку. При повторном включении ПК вирус выходит на рабочий стол.

Обычно, семейство этих вирусных программ подразделяется на простые или сложные или на три основных типа.

Простые : это баннеры или порноинформёры, появляющиеся только в окне браузера. Наиболее легко удаляемый тип. Так же эти баннеры, могут оставаться на рабочем столе после закрытия вашего браузера, но у пользователей обычно остается возможность открывать другие программы и редактор реестра(системный реестр - это иерархическая база данных на большинстве ОС Microsoft. Эта база содержит информацию и настройки для ПО, профилей пользователя, предустановки.)

Сложные : тип баннеров, который загружается после полной загрузки рабочего стола Windows. Они закрывают практически весь рабочий стол, блокируют запуск диспетчера задач, редактора реестра, а также загрузку в безопасном режиме. Некоторые разновидности полностью блокируют клавиатуру, предоставляя пользователю лишь цифровые клавиши из своего интерфейса, и рабочую мышь для ввода кода.

Откуда берутся эти вирусы?


Можно ли привлечь создателей вируса к уголовной ответственности?

Я лично точно не знаю, но вот что нам говорит закон:

Если сумма ущерба превысит 2500 рублей, то обвиняемому грозит штраф до 300 тысяч российских рублей или лишение свободы на срок до пяти лет, во всех случаях где сумма ниже - это административный штраф.
Небольшие советы:

1)Никогда не переводите сумму на счет злоумышленникам! В 95% случаях после оплаты счета злоумышленников код разблокировки не приходит!

2)При возможности воспользуйтесь онлайн-сервисами подбора кода разблокировки на сайтах производителей антивирусного ПО.

3)Бывают такие случаи, когда помогает перестановка BIOS на 3-5 лет назад

1) вставляем болванку в дисковод.
2) открываем папку с сохраненым образом и кликаем правой кнопкой мышки по файлу и открываем с помощью "Средство записи образов windows".
3) Нажимаем "Проверить диск после записи" и записать.

В случае заражения компьютера сложным винлокером нажимаем наши волшебные "CTRL+ALT+DELETE" и мы переходим в меню. Если у нас не получается нажать на красный треугольник в правом нижне углу монитора, то зажимаем "Tab", пока у нас этот треугольник не выделиться. Нажимаем "Enter" и выбираем стрелками перезагрузка. Как только появится надпись "Завершение работы" вставляем нашу болванку с образом в дисковод. ВАЖНО! Как только наш ПК включился заново, вызываем меню загрузки(вызывается на разных устройствах по разному, обычно пишеться в первом окне, например: press ESC for BootMenu). Выбираем надпись:CD -ROM Drive(DVD-ROM). Нажимаем клавишу "Enter" и выбираем RusLive RAM(256 mb). Затем в след. меню выбираем Multimedia.

Загружается стандартная оболочка Windows XP. Затем выбираем следующее:

Далее меню утилит и редактор реестра. На всякий случай сохраняем копию реестра, для этого жмем "Экспорт и сохраняем.

Затем нажимаем кнопку "Старт" в AntiWinLockerLiveCD и там начинается автоматический режим очистки ПК. Через 11 секунд должно выйти вот такое окно с автоматической разблокировкой:


Как мы видим программа сделала все необходимое и указала адрес на экзэмпляр этого вируса. Программа автоматически закроет данное окно.


Если есть надпись похожая на надпись в красной рамке, то нажимаем очистить! Эта надпись переводит нас по другому адресу IP-адресу при вводе, например vk.vom

Нажимаем сохранить и нажимаем на надпись "Для выхода. " и затем "Для выхода нажмите здесь"! После этого закрываем два последующих окна.

Затем можно удалить вирус вручную или с помощью антивирусника. На windows 7 вирус обычно лежит в папке C:/Users/ ваша основная учетная запись/AppData/Local или Roaming. Удаляем вирус и нажимаем "перезагрузка". Вытаскиваем болванку из дисковода и загружаем наш windows в обычном режиме. ВАЖНО! Сразу же включите полную проверку системы в антивируснике!

Второй способ:


Третий способ:

Перезагружаем систему(как перезагружать при сложных winlock"ах я писал выше). До появления логотипа Windows обычно, с помощью клавишы F8 вызываем вот такое вот меню:


Включаем безопасный режим(можно проделать другой способ с командной строкой, но я его описывать не буду). Потом ищем "Восстановление системы" и переводим систему на несколько дней назад.

Вот и все! Просто будьте готовы к различным ситуациям

Материал взят из собственного опыта и других источников(сайты, видео).

Жду вашей адекватной критики, скоро добавлю другие способы если понадобиться. Дополняйте, ищите ошибки. При возможности, исправлю!

Теперь нам надо в командной строке прописать команду regedit, чтобы запустить редактор реестра.

Как разблокировать windows, удалить winlocker

Далее переходим по веткам системного реестра, отвечающие за автозагрузку :

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
2. HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run

Убираем ненужные и незнакомые программы, которые автоматически загружаются.
Эти программы (если есть), убирать не нужно:
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\igfxpers.exe

3. HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon

В этом разделе реестра также содержатся значения параметров, отвечающих за автозапуск различных приложений при входе пользователя в систему:
Нам нужны параметр Shell и Userinit.

Как разблокировать windows, удалить winlocker

В параметре Shell должно быть прописано explorer.exe

В параметре Shell должно быть прописано explorer.exe
В параметре Userinit должнен быть прописан путь к файлу userinit.exe
В моем случае ( I\ Windows\ system32\ userinit. exe, )
Если у вас система установлена на диск С, то значение будет ( C\ Windows\ system32\ userinit.exe, ) (ставится запятая после .exe)

Если в этих параметрах стоит другое значение, то запоминаем или записываем его ( это есть путь к самому винлокеру, он прячется по этому адресу. )
Меняем значения на такие, которые должны быть.

Мы только удалили автозапуск вируса. Теперь, чтобы разблокировать windows, нужно удалить сам винлокер ( winlocker ).

Но если его не найдете, то можете и не удалять, он все равно не запустится уже при загрузке системы. 😉

Для этого закрываем редактор реестра, в командной строке вводим команду explorer.exe Откроется проводник.
Идём по пути, записанным вами ранее (тот путь, который был записан вместо верных значений), находим и удаляем винлокер ( winlocker ).
Но вирус может прописаться в скрытых системных папках и файлах. Для этого нужно разблокировать доступ к скрытым файлам и папкам в проводнике :

Как разблокировать windows, удалить winlocker

Показывать скрытые файлы, папки и диски в Windows 7

Как разблокировать windows, удалить winlocker

Показывать скрытые файлы, папки и диски в Windows Xp

После перезагрузки компьютера проблема исчезнет.

Чтоб таких проблем больше не было, рекомендую установить StartupMonitor

Если все функции windows заблокированы , то чтобы разблокировать Windows, вам потребуется Загрузочная флешка LiveCD Windows XPE/7PE & Acronis BootCD v3.0 by SVLeon, с помощью нее вы можете запустить систему прям с флешки и разблокировать свою windows удалив вредоносный файл и прописав верные значения в реестр.

Звезда активна
Звезда активна
Звезда активна
Звезда активна
Звезда не активна

Самым неприятным Баннером является баннер, блокирующий рабочий стол и любые действия с ним, так называемый Winlock . Рассмотрим варианты решения данной проблемы.

Как я уже говорил, не в коем случае никаких СМС не отправляем на короткие номера, не кладем деньги через терминал и не ждем пароля на чеке из терминала. Первое, что нужно сделать - это попробовать загрузить компьютер в безопасном режиме.

Вариант 1. Делается это так - при включении компьютера, после заставки БИОС нажимаем клавишу F8.

Появится список с вариантами загрузки. Выбираем Безопасный режим и нажимаем ENTER (Как выглядит это меню можно увидеть на картинках: Windows XP , Windows Vista , Windows 7 ). Если все хорошо, и компьютер удалось запустить, нажимаем ПУСК-ВСЕ ПРОГРАММЫ-СТАНДАРТНЫЕ-СЛУЖЕБНЫЕ-ВОССТАНОВЛЕНИЕ СИСТЕМЫ и пробуем вернуть состояние компьютера на дату, когда Баннера попрошайки не было. Если получилось и Баннер исчез - УРА. Если остался на месте - переходим к следующему пункту.

Вариант 2. Пишем в пункте ВЫПОЛНИТЬ (нажать ПУСК-ВЫПОЛНИТЬ и в окошке ввести) "msconfig" (полный список системных команд можно посмотреть тут ). Запустится окно с параметрами загрузки Windows. На вкладке АВТОЗАГРУЗКА ищем подозрительные или незнакомые программы, которые запускаются автоматически и снимаем с них галки. Нажимаем ПРИМЕНИТЬ и перезагружаем компьютер. Замечу, что данные операции надо производить от имени администратора системы , т.е. при загрузке Безопасного режима выполнить вход от имени администратора компьютера-показывается под именем пользователя. Баннер исчез - УРА. Если остался на месте, переходим к следующему пункту.

Вариант 3. Загружаемся опять в Безопасном режиме . В пункте ВЫПОЛНИТЬ пишем " regedit ". Запустится редактор реестра. ВНИМАНИЕ! Тут надо быть предельно осторожным, не удалять и не изменять ничего лишнего, иначе все попытки вернуть компьютер к жизни могут сойти на нет и Ваш единственный вариант будет номер "Х" - переустановка Windows. Итак приступим. Ищем путь

в нем смотрим на наличие подразделы "explorer.exe" и "iexplore.exe". Если такие оказываются - нещадно удаляем их (для этого нажимаем правой кнопкой на подразделе, в данном случае на "explorer.exe", выбираем УДАЛИТЬ и на вопрос о подтверждении удаления нажимаем ДА), если нет - действуем дальше. Теперь проверяем параметры запуска "explorer.exe". Для этого ищем путь

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/ , нажимаем на разделе Winlogon левой клавишей мыши и в правом окне ищем параметр "SHELL". Кликаем на нем правой клавишей мыши и нажимаем ИЗМЕНИТЬ в выпавшем меню. В окошке "Изменение строкового параметра" должно быть написано "explorer.exe" (без кавычек) и ничего другого. Таким же образом в этой ветке реестра ищем параметр "Userinit". В нём должна быть надпись "C:\WINDOWS\system32\userinit.exe," (в конце обязательно запятая. "С:" - диск, на котором установлена Windows). Если записи отличается от нужного - все исправляем. Закрываем редактор реестра и перезагружаемся. Баннер исчез - троекратное УРА. Остался на месте - переходим к следующему пункту.

Вариант 4. В обычном режиме компьютер не загружается - и висит баннер. В безопасном режиме компьютер не запускается. Пробуем загрузку в Безопасном режиме с поддержкой командной строки. Нажимаем ENTER. Выбираем нашу операционную систему и жмём также ENTER. Заходим от имени Администратора. Windows запустится без рабочего стола, ярлыков и разных иконок и кнопок. Зато запустится Командная строка - окошко с надписью "cmd.exe" в самом верху. В самом окне будет написано что-то вроде этого:

Нам необходимо попасть в каталог C:\Windows. Для этого вводим команду "CD.." (без кавычек) и нажимаем ENTER. Это действие переведёт нас на уровень выше. Далее повторяем команду - и вот мы уже в корне диска С. Далее необходимо попасть в саму папку WINDOWS. Для этого пишем "CD WINDOWS" и нажимаем клавишу ENTER. Теперь запускаем Explorer набрав команду "explorer.exe" и нажав кнопку ENTER. Если запустился Рабочий стол - прекрасно, выполняем Вариант 3 (кроме конечно загрузки в безопасном режиме, так как мы уже в нём). Если запустился Проводник, то так же выполняем Вариант 3, а после этого скачиваем программу RAZBLOCKER (есть описание и ссылка на скачивание у нас на сайте- вот тут) и разблочем всё нужные функции.

Вариант 6. Если на Рабочем столе красуется баннер и ничего не работает, а при одновременном нажатии клавиш CTRL ALT DEL Диспетчер задач запускается и закрывается через долю секунды (грубо говоря моргает), то не всё так плохо! Делаем следующее- Зажимаем все три кнопки CTRL ALT DEL и не отпуская пробуем найти и закрыть эту заразу в процессах (вторая слева вкладка, выбираем подозрительный процесс и нажимаем кнопку Завершить процесс справа внизу окна). Ну а дальше Вариант 1-3 Вам в помощь! И не бойтесь чего испортить. Максимум компьютер повиснет.

Вариант 7. Заходим в БИОС компьютера и пробуем перевести часы компьютера на несколько дней вперёд. Бывает, что информер или баннер пропадает (редко, но бывает помогает).

Если ни один вариант Вам не подошел, Можно воспользоваться так называемыми LiveCD, записав их на болванку (как записать образ на диск- смотрим тут )(как записать образ на флешку или USB-HDD - смотрим тут ):

Цитата с официального сайта:

"Диск аварийного восстановления системы

Если действия вредоносных программ сделали невозможной загрузку компьютера под управлением Windows или Unix, восстановите работоспособность пораженной системы бесплатно с помощью Dr.Web LiveCD!

Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и скопировать важную информацию на сменные носители или другой компьютер, а также попытается вылечить зараженные объекты."

Цитата с официального сайта:

"Dr.Web LiveUSB — продукт, позволяющий провести аварийное восстановление операционной системы с помощью загрузочного USB-накопителя.

Предназначен для работы в операционных системах Windows (32- и 64-битные версии). Для загрузки с флеш-накопителя BIOS вашего компьютера должен поддерживать устройство USB-HDD в качестве загрузочного."

Цитата с официального сайта:

"Kaspersky Rescue Disk предназначен для проверки и лечения зараженных x86 и х64-совместимых компьютеров. Программа применяется при такой степени заражения, когда не представляется возможным вылечить компьютер с помощью антивирусных программ или утилит лечения (например, Kaspersky Virus Removal Tool), запускаемых под управлением операционной системы. При этом эффективность лечения повышается за счет того, что находящиеся в системе вредоносные программы не получают управления во время загрузки операционной системы."

ERD Commander 5.0

Образ загрузочного диска со всеми необходимыми средствами для удаления баннеров, вымогалок и информеров.

- редактор реестра восстанавливаемой системы
- откат системы до ранее созданной точки восстановления
- управление дисками
- средство сброса системных паролей
- редактор автозагрузки
- управление службами и драйверами
- просмотр системных событий

Читайте также: