Як від sms-здирників і блокувальників Windows .. Обговорення на LiveInternet

Наша взаимовыгодная связь https://banwar.org/

трояни сімейства Winlock відомі, як блокувальники Windows, які вже досить давно вимагають гроші у рядових користувачів. Сьогодні ці шкідливі програми стали більш досконалими і доставляють масу проблем. З ними можна боротися самостійно, якщо слідувати рекомендаціям щодо запобігання зараження.

Троян з'являється в системі швидко і непомітно. Користувач здійснює звичайні дії, переглядає веб-сторінки, не роблячи нічого особливого. Але в певний момент виникає повноекранний банер , Прибрати який не вдається.

Зображення може бути різним: порнографічним або навпаки суворим і грізним. Але результаті завжди однаковий: поверх всіх вікон з'являється повідомлення з вимогою перерахувати вказану суму на той чи інший номер або відправити платне смс. У більшості випадків його супроводжують загрози про кримінальне переслідування або знищення всіх даних, якщо оплата не буде виконаний.

Очевидно, що платити не треба. Слід дізнатися, до якого оператора зв'язку відноситься зазначений номер і повідомити про проблему в службу безпеки. У деяких випадках вам можуть сказати код розблокування, але сильно сподіватися на це не варто.

Способи вирішення проблеми припускають розуміння тих змін, які відбуваються в системі після появи трояна . Після цього їх потрібно знайти і скасувати.

Для деяких троянів передбачений код розблокування . У рідкісних випадках вони видаляють себе повністю після введення правильного коду. Знайти його можна на сайтах антивірусних програм. Потрапити до відповідного розділу сайтів «Доктор Веб» або «Лабораторія Касперського» можна з телефону або іншого комп'ютера. Після розблокування слід завантажити будь-який антивірус і повністю перевірити систему.

Перш ніж застосовувати більш складні методи і спецсофт, спробуйте використовувати наявні можливості. Відкрийте диспетчер задач за допомогою клавіш {CTRL} + {ALT} + {DEL} або {CTRL} + {SHIFT} + {ESC}. Якщо результат позитивний, значить в системі діє примітивний троян, видалити який не дуже складно. У списку процесів знайдіть його і примусово завершите. Виявити сторонній процес просто, він має невиразне ім'я, а опис відсутній. При сумнівах по черзі вивантажуйте всі підозрілі процеси до тих пір, поки банер не зникне.

Якщо диспетчер не відкривається, спробуйте запустити сторонній менеджер процесів з допомогою команди «Виконати», натисніть {Win} + {R}. Програму можна завантажити з іншого комп'ютера або з телефону. За посиланням перевірити починається пошук інформації про процес в базі даних онлайн. Але в більшості випадків все гранично зрозуміло. Коли банер закриється, необхідно перезапустити «Провідник» - процес explorer.exe. У диспетчері завдань виберіть Файл, потім Нова задача (виконати), далі c: \ Windows \ explorer.exe. Коли троян на час сеансу деактивовано, потрібно знайти його файли і прибрати їх. Зробити це можна вручну або за допомогою антивірусу.

У більшості випадків троян з'являється в каталогах тимчасових файлів. Рекомендується все ж виконати повну перевірку, так як копії можуть залишитися в інших папках. Повний список об'єктів автозапуску дозволяє побачити безкоштовна утиліта Autoruns .
Всі програми на одній флешці

На першому етапі усунути троян допоможе зміна в поведінці окремих стандартних програм. Якщо ви побачили банер, запустіть наосліп Блокнот або WordPad. Натисніть {WIN} + {R}, введіть notepad і підтвердіть за допомогою {ENTER}. Під банером з'явиться новий документ. Наберіть в ньому будь-які літери і відключіть комп'ютер. Всі процеси, в тому числі троян, почнуть завершуватися, але сам пристрій не відключиться. Чи залишиться діалогове вікно «Зберегти зміни у файлі?». На цьому етапі ми банера вже немає і можна повністю усунути трояна до перезавантаження.

Більш досконалі версії троянів мають властивість протидії спробам усунути їх. Вони блокує запуск диспетчера завдань, замінюють системні компоненти. В цьому випадку необхідне перезавантаження, в момент завантаження системи тисніть клавішу F8. Ви побачите вікно вибору способу завантаження. Виберіть «Безпечний режим з підтримкою командного рядка» (Safe Mode with Command Prompt) ». Коли з'явиться консоль, набираємо explorer, потім ENTER, після цього запуститься провідник. Пишемо regedit, підтверджуємо, відкриється редактор реєстру. У ньому можна знайти записи, створені трояном, а також місце, звідки починається його автозапуск. У більшості випадків користувач бачить повні шляхи до файлів трояна в ключах Shell і Userinit в гілці
HKLM \ Software \ Microsoft \ Windows NT \ Current Version \ Winlogon

У Shell троян підмінює explorer.exe, а в Userinit вказується після коми. З першої виявленої записи копіюємо повне ім'я троянського файлу. У командному рядку набираємо
Del, пробіл і відкриваємо контекстне меню правою кнопкою миші. Вибираємо команду вставити, підтверджуємо. Один файл трояна видалений. Те ж саме робимо для другого і наступних.

У реєстрі запускаємо пошук по імені файлу трояна, переглядаємо всі записи і прибираємо підозрілі. Чистимо все тимчасові папки і кошик. Після цього рекомендується виконати повну перевірку комп'ютера антивірусом. Якщо троян вплинув на роботу мережевих підключень, спробуйте відновити настройки Windows Sockets API за допомогою утиліти AVZ.

Якщо зараження серйозне, боротися з ним з-під інфікованої системи немає сенсу. Більш доцільно завантажитися з чистою і вилікувати основну. Це можна зробити різними способами, самий просто - безкоштовна утиліта Kaspersky WindowsUnlocker. Файл-образ можна записати на болванку або створити з нього завантажувальний флешку.

Досвідчені користувачі роблять це завчасно, інші вживають заходів вже під час зараження. Включаючи заражений комп'ютер, утримуйте, щоб зайти в BIOS. Це може бути DEL або F2. Відповідне запрошення можна побачити в нижній частині екрана. Вставте Kaspersky Rescue Disk або завантажувальний флешку. Привід оптичних дисків або флешку виберіть першим завантажувальним пристроєм. Зміни потрібно зберегти за допомогою клавіші F10, після цього вийдіть з BIOS.

Сучасні версії BIOS дають можливість вибрати завантажувальний пристрій без входу в основні настройки. Досить натиснути F12, F11 або комбінацію клавіш. Більш детальну інформацію можна отримати у повідомленні на екрані, в інструкції до материнської плати або ноутбука. Після перезавантаження запуститься Kaspersky Rescue Disk . Лікування можна виконувати автоматично або вручну.

Окрема категорія - трояни, які вражають головний завантажувальний запис MBR. Вони з'являються до завантаження Windows, і їх не можна знайти в автозапуску. Щоб ліквідувати такий троян, потрібно, перш за все, відновити вихідний код MBR. Для цього потрібно завантажити файл з інсталяційного диска Windows, відкрити консоль відновлення за допомогою клавіші R. Набираємо в ній команду fixmbr, підтверджуємо клавішею Y, перезавантажуємо комп'ютер. Це стосується XP. Для Windows 7 існує утиліта BOOTREC.EXE, необхідна команда представлена ​​у вигляді параметра Bootrec.exe / FixMbr. Після цих дій система знову завантажується. Тепер антивірусом можна пошукати копії трояна і засобів його доставки.

На комп'ютерах, які не вирізняються потужністю, і ноутбуках боротьба з троянами затягується. Це обумовлено тим, що завантаження з зовнішніх пристроїв утруднено, а перевірка виконується довго. У разі зараження витягніть заражений вінчестер і використовуйте для лікування інший комп'ютер. Зручно користуватися боксами з інтерфейсом eSATA або USB 3.0 / 2.0. Не забудьте при цьому відключити автозапуск з HDD, щоб на поширювати заразу. Допоможе безкоштовна утиліта AVZ. Перевірку краще виконати чимось іншим. У меню Файл виберіть «Майстер пошуку та усунення проблем», ставимо позначку «Системні проблеми», «Все» і натискаємо «Пуск». Після цього виділіть пункт «Дозволено автозапуск з HDD» і натисніть «Виправити зазначені проблеми».

Також до підключення зараженого вінчестера переконайтеся, що на комп'ютері працює резидентний антивірусний моніторинг з нормальними настройками. Якщо розділи зовнішнього диску не види, відкрийте «Управління дисками». Через Пуск натисніть Виконати, наберіть diskmgmt.msc, підтвердіть. Всі розділи зовнішнього жорсткого диска позначаються буквами, їх можна додати вручну. Після цього перевірте весь вінчестер.

Щоб не сталося повторного зараження, встановіть будь-який антивірус, в якому є компонент моніторингу в режимі реального часу і дотримуйтесь загальних правил безпеки:

- для роботи використовуйте облікову записи з обмеженими правами,
- користуйтеся іншими браузерами - в основному зараження відбувається через Internet Explorer,
- відключайте Java-скрипти на невідомих сайтах і автозапуск зі змінних носіїв,
- програми встановлюйте тільки з офіційних сайтів,
- звертайте увагу, куди веде пропонована посилання,
- прибирайте небажані спливаючі вікна, в цьому допоможуть доповнення для браузера або окремі програми,
- своєчасно встановлюйте оновлення системних компонентів,
- виберіть для системи окремий дисковий розділ, призначені для користувача файл відправте на інший.

Останнє правило дозволяє робити невеликі образи системного розділу за допомогою програм Symantec Ghost, Acronis True Image, Paragon Backup and Recovery або стандартного засобу Windows «Архівація та відновлення». Це допоможе відновити швидко роботу комп'ютера незалежно від того, чим він заражений і здатний антивірус визначити трояна.

Це лише основні методи і загальна інформація. Більш детальну інформацію можна знайти на сайті проекту GreenFlash. Тут представлено безліч цікавих рішень, а також поради щодо створення Мультізагрузочний флешки для будь-якої ситуації.

Трояни Winlock поширені не тільки в Росії та ближньому зарубіжжі. Їх модифікації існують майже на всіх мовах. Крім Windows, вони вражають і Mac OS X. Користувачам Linux не вдасться перемогти цього підступного ворога, так як на сьогоднішній.