Винлокер (Trojan.Winlock) - компьютерный вирус, блокирующий доступ к Windows. После инфицирования предлагает пользователю отправить SMS для получения кода, восстанавливающего работоспособность компьютера. Имеет множество программных модификаций: от самых простых - «внедряющихся» в виде надстройки, до самых сложных - модифицирующих загрузочный сектор винчестера.
Предупреждение! Если ваш компьютер заблокирован винлокером, ни при каких обстоятельствах не отправляйте SMS и не переводите денежные средства, чтобы получить код разблокировки ОС. Нет никакой гарантии, что вам его отправят. А если это и случится, знайте, что вы отдадите злоумышленникам свои кровно заработанные за просто так. Не поддавайтесь уловкам! Единственно правильное решение в этой ситуации - удалить вирус-вымогатель из компьютера.
Самостоятельное удаление баннера-вымогателя
Данный метод применителен к винлокерам, которые не блокируют загрузку ОС в безопасном режиме, редактор реестра и командную строку. Его принцип действия основан на использовании исключительно системных утилит (без задействования антивирусных программ).
1. Увидев зловредный баннер на мониторе, первым делом отключите интернет-соединение.
2. Перезагрузите ОС в безопасном режиме:
- в момент перезагрузки системы удерживайте клавишу «F8» до тех пор, пока на мониторе не появится меню «Дополнительные варианты загрузки»;
- используя стрелки курсора выберите пункт «Безопасный режим с поддержкой командной строки» и нажмите «Enter».
Внимание! Если ПК отказывается загружаться в безопасном режиме или не запускается командная строка/ утилиты системы, попробуйте винлокер удалить другим способом (смотрите ниже).
3. В командной строке наберите команду - msconfig, а затем нажмите «ENTER».
4. На экране появится панель «Конфигурация системы». Откройте в ней вкладку «Автозагрузка» и тщательно просмотрите список элементов на предмет присутствия винлокера. Как правило, в его имени содержатся бессмысленные буквенно-цифровые комбинации («mc.exe», «3dec23ghfdsk34.exe» и др.) Отключите все подозрительные файлы и запомните/запишите их названия.
5. Закройте панель и перейдите в командную строку.
6. Введите команду «regedit» (без кавычек) + «ENTER». После активации откроется редактор реестра Windows.
7. В разделе «Правка» меню редактора кликните «Найти...». Напишите имя и расширение винлокера, найденного в автозагрузке. Запустите поиск кнопкой «Найти далее...». Все записи с названием вируса необходимо удалить. Продолжайте сканирование при помощи клавиши «F3», пока не будут проверены все разделы.
8. Тут же, в редакторе, перемещаясь по левому столбику, просмотрите директорию:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon.
Запись «shell» - должна иметь значение «explorer.exe»; запись «Userinit» - «C:\Windows\system32\userinit.exe,».
В противном случае, при обнаружении зловредных модификаций, посредством функции «Исправить» (правая кнопка мышки - контекстное меню) установите верные значения.
9. Закройте редактор и снова перейдите в командную строку.
10. Теперь нужно удалить баннер с рабочего стола. Для этого введите в строке команду «explorer» (без кавычек). Когда появится оболочка Windows, уберите все файлы и ярлыки с необычными названиями (которые вы не устанавливали в систему). Скорее всего, один из них и есть баннер.
11. Перезапустите Windows в обычном режиме и убедитесь, что вам удалось удалить зловреда:
- если баннер исчез - подключите интернет, обновите базы установленного антивируса или воспользуйтесь альтернативным антивирусным продуктом и просканируйте все разделы винчестера;
- если баннер продолжает блокировать ОС - воспользуйтесь другим методом удаления. Возможно, ваш ПК поразил винлокер, который «закрепляется» в системе немного по-другому.
Удаление при помощи антивирусных утилит
Чтобы скачать утилиты, удаляющие винлокеры, и записать их диск, вам понадобится другой, неинфицированный, компьютер или ноутбук. Попросите соседа, товарища или друга попользоваться его ПК часок-другой. Запаситесь 3-4 чистыми дисками (CD-R или DVD-R).
Совет! Если вы читаете эту статью в ознакомительных целях и ваш компьютер, слава богу, жив-здоров, всё равно скачайте себе лечащие утилиты, рассматриваемые в рамках это статьи, и сохраните их на дисках или флешке. Заготовленная «аптечка», увеличивает ваши шансы победить вирусный баннер вдвое! Быстро и без лишних волнений.
1. Зайдите на оф.сайт разработчиков утилиты - antiwinlocker.ru.
2. На главной странице кликните кнопку AntiWinLockerLiveCd.
3. В новой вкладке браузера откроется список ссылок для скачивания дистрибутивов программы. В графе «Образы диска для лечения заражённых систем» пройдите по ссылке «Скачать образ AntiWinLockerLiveCd» с номером старшей (новой) версии (например, 4.1.3).
4. Скачайте образ в формате ISO на компьютер.
5. Запишите его на DVD-R/CD-R в программе ImgBurn или Nero, используя функцию «Записать образ диск». ISO-образ должен записаться в распакованном виде, чтобы получился загрузочный диск.
6. Вставьте диск с AntiWinLocker в ПК, в котором бесчинствует баннер. Перезапустите ОС и зайдите в БИОС (узнайте горячую клавишу для входа применительно к вашему компьютеру; возможные варианты - «Del», «F7»). Установите загрузку не с винчестера (системного раздела С), а с DVD-привода.
7. Снова перезагрузите ПК. Если вы сделали всё правильно - корректно записали образ на диск, изменили настройку загрузки в БИОС - на мониторе появится меню утилиты AntiWinLockerLiveCd.
8. Чтобы автоматически удалить вирус-вымогатель с компьютера нажмите кнопку «СТАРТ». И всё! Других действий не понадобится - уничтожение в один клик.
9. По окончанию процедуры удаления, утилита предоставит отчёт о проделанной работе (какие сервисы и файлы она разблокировала и вылечила).
10. Закройте утилиту. При перезагрузке системы опять зайдите в БИОС и укажите загрузку с винчестера. Запустите ОС в обычном режиме, проверьте её работоспособность.
WindowsUnlocker (Лаборатория Касперского)
1. Откройте в браузере страницу sms.kaspersky.ru (оф.сайт Лаборатории Касперского).
2. Кликните кнопку «Скачать WindowsUnlocker» (расположена под надписью «Как убрать баннер»).
3. Дождитесь пока на компьютер скачается образ загрузочного диска Kaspersky Rescue Disk с утилитой WindowsUnlocker.
4. Запишите образ ISO таким же образом, как и утилиту AntiWinLockerLiveCd - сделайте загрузочный диск.
5. Настройте БИОС заблокированного ПК для загрузки с DVD-привода. Вставьте диск Kaspersky Rescue Disk LiveCD и перезагрузите систему.
6. Для запуска утилиты нажмите любую клавишу, а затем стрелочками курсора выберите язык интерфейса («Русский») и нажмите «ENTER».
7. Ознакомьтесь с условиями соглашения и нажмите клавишу «1» (согласен).
8. Когда на экране появится рабочий стол Kaspersky Rescue Disk, кликните по крайней левой иконке в панели задач (буква «K» на синем фоне), чтобы открыть меню диска.
9. Выберите пункт «Терминал».
10. В окне терминала (root:bash) возле приглашения «kavrescue ~ #» введите «windowsunlocker» (без кавычек) и активируйте директиву клавишей «ENTER».
11. Отобразится меню утилиты. Нажмите «1» (Разблокировать Windows).
12. После разблокировки закройте терминал.
13. Доступ к ОС уже есть, но вирус по-прежнему гуляет на свободе. Для того, чтобы его уничтожить, выполните следующее:
- подключите интернет;
- запустите на рабочем столе ярлык «Kaspersky Rescue Disk»;
- обновите сигнатурные базы антивируса;
- выберите объекты, которые нужно проверить (желательно проверить все элементы списка);
- левой кнопкой мыши активируйте функцию «Выполнить проверку объектов»;
- в случае обнаружения вируса-вымогателя из предложенных действий выберите «Удалить».
14. После лечения в главном меню диска кликните «Выключить». В момент перезапуска ОС, зайдите в БИОС и установите загрузку с HDD (винчестера). Сохраните настройки и загрузите Windows в обычном режиме.
Сервис разблокировки компьютеров от Dr.Web
Этот способ заключается в попытке заставить винлокер самоуничтожиться. То есть дать ему, то что он требует - код разблокировки. Естественно деньги для его получения вам тратить не придётся.
1. Перепишите номер кошелька или телефона, который злоумышленники оставили на баннере для покупки кода разблокировки.
2. Зайдите с другого, «здорового», компьютера на сервис разблокировки Dr.Web - drweb.com/xperf/unlocker/.
3. Введите в поле переписанный номер и кликните кнопку «Искать коды». Сервис выполнит автоматический подбор кода разблокировки согласно вашему запросу.
4. Перепишите/скопируйте все коды, отображённые в результатах поиска.
Внимание! Если таковых не найдётся в базе данных, воспользуйтесь рекомендацией Dr.Web по самостоятельному удалению винлокера (пройдите по ссылке, размещённой под сообщением «К сожалению, по вашему запросу... »).
5. На заражённом компьютере в «интерфейс» баннера введите код разблокировки, предоставленный сервисом Dr.Web.
6. В случае самоликвидации вируса, обновите антивирус и просканируйте все разделы жёсткого диска.
Предупреждение! Иногда баннер не реагирует на ввод кода. В таком случае необходимо задействовать другой способ удаления.
Удаление баннера MBR.Lock
MBR.Lock - один из самых опасных винлокеров. Модифицирует данные и код главной загрузочной записи жёстокого диска. Многие пользователи, не зная как удалить баннер-вымогатель данной разновидности, начинают переустанавливать Windows, в надежде, что после этой процедуры, их ПК «выздоровеет». Но, увы, этого не происходит - вирус продолжает блокировать ОС.
Чтобы избавиться от вымогателя MBR.Lock выполните следующие действия (вариант для Windows 7):
1. Вставьте установочный диск Windows (подойдёт любая версия, сборка).
2. Зайдите в BIOS компьютера (узнайте горячую клавишу для входа в БИОС в техническом описании вашего ПК). В настройке First Boot Device установите «Сdrom» (загрузка с DVD-привода).
3. После перезапуска системы загрузится установочный диск Windows 7. Выберите тип своей системы (32/64 бит), язык интерфейса и нажмите кнопку «Далее».
4. В нижней части экрана, под опцией «Установить», кликните «Восстановление системы».
5. В панели «Параметры восстановления системы» оставьте всё без изменений и снова нажмите «Далее».
6. Выберите в меню средств опцию «Командная строка».
7. В командной строке введите команду - bootrec /fixmbr, а затем нажмите «Enter». Системная утилита перезапишет загрузочную запись и тем самым уничтожит вредоносный код.
8. Закройте командную строку, и нажмите «Перезагрузка».
9. Просканируйте ПК на вирусы утилитой Dr.Web CureIt! или Virus Removal Tool (Kaspersky).
Стоит отметить, что есть и другие способы лечения компьютера от винлокера. Чем больше в вашем арсенале будет средств по борьбе с этой заразой, тем лучше. А вообще, как говорится, бережённого Бог бережёт - не искушайте судьбу: не заходите на сомнительные сайты и не устанавливайте ПО от неизвестных производителей.
Пусть ваш ПК баннеры-вымогатели минуют стороной. Удачи!
Наверняка, каждый четвертый пользователь персонального компьютера сталкивался с различным мошенничеством в интернете. Один из видов обмана – это баннер, который блокирует работу Windows и требует отправить СМС на платный номер или требует криптовалюту. По сути это просто вирус.
Чтобы бороться с баннером-вымогателем, нужно понять, что он собой представляет и как проникает в компьютер. Обычно баннер выглядит так:
Но могут быть и другие всевозможные вариации, но суть одна – жулики хотят заработать на вас.
Пути попадания вируса в компьютер
Первый вариант «заражения» — это пиратские приложения, утилиты, игры. Конечно, пользователи интернета привыкли получать большинство желаемого в сети «на халяву», но при загрузке с подозрительных сайтов пиратского ПО, игр, различных активаторов и прочего, мы рискуем заразиться вирусами. В этой ситуации обычно помогает .
Windows может быть заблокирован из-за скачанного файла с расширением «.exe ». Это не говорит о том, что нужно отказываться от загрузки файлов с таким расширением. Просто помните, что «.exe » может относиться только к играм и программам. Если вы качаете видео, песню, документ или картинку, а в её названии на конце присутствует «.exe», то шанс появления баннера вымогателя резко возрастает до 99.999%!
Есть ещё хитрый ход с, якобы, необходимостью обновления Flash плеера или браузера. Может быть так, что вы будете работать в интернете, переходить со странички на страничку и однажды обнаружите надпись что «ваш Flash плеер устарел, обновитесь пожалуйста». Если вы кликаете на этот баннер, и он вас ведёт не на официальный сайт adobe.com, то это 100% вирус. Поэтому проверяйте, прежде чем кликнуть по кнопку «Обновить». Лучшим вариантом будет игнорирование подобных сообщений вовсе.
И последнее, устаревшие обновления Windows ослабляют защиту системы. Чтобы компьютер был защищенным, старайтесь вовремя устанавливать обновления. Эту функцию можно настроить в «Панели управления -> Центр обновления Windows» на автоматический режим, чтобы не отвлекаться.
Как разблокировать Windows 7/8/10
Один из простых вариантов убрать баннер-вымогатель – это . Помогает 100%, но переустанавливать Windows имеет смысл тогда, когда у вас нет важных данных на диске «С», которые вы не успели сохранить. При переустановке системы, все файлы удалятся с системного диска. Поэтому, если у вас нет желания заново устанавливать программное обеспечение и игры, то вы можете воспользоваться другими способами.
После лечения и успешного запуска системы без баннера вымогателя нужно провести дополнительные действия, иначе вирус может снова всплыть, или просто будут некоторые проблемы в работе системы. Всё это есть в конце статьи. Вся информация проверена лично мной! Итак, начнем!
Kaspersky Rescue Disk + WindowsUnlocker нам поможет!
Будем использовать специально разработанную операционную систему. Вся сложность в том, что на рабочем компьютере нужно скачать образ и или (пролистайте статьи, там есть).
Когда это будет готово, нужно . В момент запуска появится небольшое сообщение, типа «Press any key to boot from CD or DVD». Здесь нужно нажать любую кнопку на клавиатуре, иначе запустится заражённый Windows.
При загрузке нажимаем любую кнопку, затем выбираем язык – «Русский», принимаем лицензионное соглашение с помощью кнопки «1» и используем режим запуска – «Графический». После запуска операционной системы Касперского не обращаем внимания на автоматически запустившийся сканер, а идём в меню «Пуск» и запускаем «Терминал»
Откроется чёрное окошко, куда пишем команду:
windowsunlocker
Откроется небольшое меню:
Выбираем «Разблокировать Windows» кнопкой «1». Программа сама всё проверит и исправит. Теперь можно закрыть окно и проверить, уже запущенным сканером, весь компьютер. В окошке ставим галочку на диске с ОС Windows и жмём «Выполнить проверку объектов»
Ждём окончания проверки (может быть долго) и, наконец, перезагружаемся.
Если у вас ноутбук без мышки, а тачпад не заработал, то предлагаю воспользоваться текстовым режимом диска Касперского. В этом случае после запуска операционной системы нужно сначала закрыть открывшееся меню кнопкой «F10», затем ввести в командной строке всё ту же команду: windowsunlocker
Разблокировка в безопасном режиме, без специальных образов
Сегодня вирусы типа Winlocker поумнели и блокируют , поэтому скорей всего у вас ничего не получится, но если образа нет, то пробуйте. Вирусы бывают разные и у всех могут сработать разные способы, но принцип один.
Перезагружаем компьютер. Во время загрузки нужно нажимать клавишу F8, пока не появится меню дополнительных вариантов запуска Windows. Нам нужно с помощью стрелочек «вниз» выбрать из списка пункт, который называется «Безопасный режим с поддержкой командной строки» .
Вот сюда мы должны попасть и выбрать нужную строку:
Далее, если всё пойдёт хорошо, то компьютер загрузится, и мы увидим рабочий стол. Отлично! Но это не значит что теперь всё работает. Если не удалить вирус и просто перезагрузиться в нормальном режиме, то банер снова всплывёт!
Лечимся средствами Windows
Нужно восстановить систему , когда баннера блокировщика ещё не было. Внимательно прочитайте статью и сделайте всё что там написано. Под статьёй есть видео.
Если не помогло, то нажимаем кнопки «Win+R» и пишем в окошке команду чтобы открыть редактор реестра:
regedit
Если же вместо рабочего стола запустилась чёрная командная строка, то просто вводим команду «regedit» и жмём «Enter». Нам предстоит проверить некоторые разделы реестра на наличие вирусных программ, или если быть точнее – вредоносного кода. Для начала этой операции зайдите вот по этому пути:
HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon
Теперь по порядку проверяем такие значения:
- Shell – здесь обязательно должно быть написано «explorer.exe», других вариантов быть не должно
- Userinit – здесь текст должен быть «C:\Windows\system32\userinit.exe,»
Если ОС установлена на другой диск, отличный от C:, то соответственно и буква там будет другая. Чтобы изменить неправильные значения, нажмите правой кнопкой мыши по строчке, которую нужно отредактировать, и выберите пункт «изменить»:
Затем проверяем:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Здесь вообще не должно быть ключей Shell и Userinit, если есть – удаляем их.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
И ещё обязательно:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Если не уверены, нужно ли удалять ключ, можно просто к параметру вначале дописать единичку «1». Путь окажется с ошибкой, и эта программа просто не запустится. Потом можно будет вернуть как было.
Теперь нужно запустить встроенную утилиту очистки системы, делаем это так же, как запускали редактор реестра «regedit», но пишем:
cleanmgr
Выбираем диск с операционной системой (по умолчанию C:) и после сканирования отмечаем все галочки, кроме «Файлы резервной копии пакета обновления»
И жмём «ОК». Этим действием мы, возможно, отключили автозапуск вируса, а дальше нужно почистить следы его пребывания в системе, а об этом – читайте в конце статьи.
Утилита AVZ
Заключается в том, что в безопасном режиме мы запустим известную антивирусную утилиту AVZ. Кроме поиска вирусов программа имеет просто массу функций исправления системных проблем. Этот способ повторяет действия по заделыванию дыр в системе после работы вируса, т.ч. для ознакомления с ним переходим к следующему пункту.
Исправление проблем после удаления вируса-вымогателя
Поздравляю! Если вы это читаете, значит система запустилась без баннера. Теперь нужно и проверить им всю систему. Если вы пользовались спасительным диском Касперского и провели проверку там, то этот пункт можно пропустить.
Ещё может быть одна неприятность, связанная с деятельностью злодея – вирус может зашифровать ваши файлы. И даже после полного его удаления вы просто не сможете воспользоваться своими файлами. Для их дешифрации нужно использовать программы с сайта Касперского : XoristDecryptor и RectorDecryptor. Там же есть и инструкция по использованию.
Но и это ещё не всё, т.к. винлокер скорей всего напакостил в системе, и будут наблюдаться различные глюки и проблемы. Например, не будет запускаться редактор реестра и диспетчер задач. Чтобы полечить систему воспользуемся программой AVZ.
При загрузке с помощью Google Chrome может возникнуть проблема, т.к. этот браузер считает программу вредоносной и не даёт её скачать! Этот вопрос уже поднимался на официальном форуме гугла, и на момент написания статьи всё уже нормально .
Чтобы всё-таки скачать архив с программой, нужно перейти в «Загрузки» и там нажать «Скачать вредоносный файл» 🙂 Да, понимаю, что выглядит это немного глупо, но видимо хром считает, что программа может нанести вред обычному пользователю. И это правда, если тыкать там куда ни попадя! Поэтому строго следуем инструкции!
Распаковываем архив с программой, записываем на внешний носитель и запускаем на заражённом компьютере. Идём в меню «Файл -> Восстановление системы» , отмечаем галочки как на картинке и выполняем операции:
Теперь идём по следующему пути: «Файл -> Мастер поиска и устранения проблем» , далее переходим в «Системные проблемы -> Все проблемы» и кликаем по кнопке «Пуск». Программа просканирует систему, и затем в появившемся окне выставляем все галочки кроме «Отключение обновления операционной системы в автоматическом режиме» и тех, которые начинаются с фразы «Разрешён автозапуск с…».
Кликаем по кнопке «Исправить отмеченные проблемы». После успешного завершения переходим по: «Настройки и твики браузера -> Все проблемы» , здесь выставляем все галочки и точно так же нажимаем на кнопку «Исправить отмеченные проблемы».
То же самое делаем и с «Приватностью», но здесь не ставьте галочки, которые отвечают за чистку закладок в браузерах и что вам ещё покажется нужным. Заканчиваем проверку в разделах «Чистка системы» и «Adware/Toolbar/Browser Hijacker Removal».
Под конец закрываем окно, при этом не выходя из AVZ. В программе находим «Сервис -> Редактор расширений проводника» и убираем галочки с тех пунктов, которые помечены черным цветом. Теперь переходим по: «Сервис -> Менеджер расширений Internet Explorer» и полностью стираем все строки в появившемся окне.
Выше я уже сказал, что этот раздел статьи также является одним из способов лечения Windows от банера-вымогателя. Так вот, в этом случае скачать программу нужно на рабочем компьютере и затем записать на флешку или на диск. Все действия проводим в безопасном режиме. Но есть ещё один вариант запустить AVZ, даже если не работает безопасный режим. Нужно запуститься, из того же меню при загрузке системы, в режиме «Устранение неполадок компьютера»
Если оно у вас установлено, то будет отображаться на самом верху меню. Если там нет, то попробуйте запустить Виндовс до момента появления баннера и выключить компьютер из розетки. Затем включите – возможно будет предложен новый режим запуска.
Запуск с установочного диска Windows
Ещё один верный способ – это загрузиться с любого установочного диска Windows 7-10 и выбрать там не «Установку» , а «Восстановление системы» . Когда средство устранения неполадок запущено:
- Нужно там выбрать «Командная строка»
- В появившемся чёрном окне пишем: «notepad», т.е. запускаем обычный блокнот. Его мы будем использовать как мини-проводник
- Идём в меню «Файл -> Открыть», тип файлов выбираем «Все файлы»
- Далее находим папку с программой AVZ, кликаем правой кнопкой по запускаемому файлу «avz.exe» и запускаем утилиту с помощью пункта меню «Открыть» (не пункт «Выбрать»!).
Если ничего не помогает
Относится к случаям, когда вы, по каким-то причинам, не можете загрузиться с флешки с записанным образом Касперского или программой AVZ. Вам остаётся только достать из компьютера жёсткий диск и подключить его вторым диском к рабочему компьютеру. Затем загрузиться с НЕЗАРАЖЁННОГО жёсткого диска и просканировать СВОЙ диск сканером Касперского.
Никогда не отправляйте СМС-сообщения, которые требуют мошенники. Каким бы ни был текст, не отправляйте сообщения! Старайтесь избегать подозрительных сайтов и файлов, а вообще почитайте . Следуйте инструкции, и тогда ваш компьютер будет в безопасности. И не забывайте про антивирус и регулярное обновление операционной системы!
Вот видео, где всё видно на примере. Плейлист состоит из трёх уроков:
PS: какой способ помог Вам? Напишите об этом в комментариях ниже.
Приветствую!
В связи с массовым распространением гаджетов и устройств, которые работают под управлением операционной системы Android, всё актуальнее становится вопрос об их защите и избавления от вредоносного программного обеспечения.
Вредоносное программное обеспечение подразделяется на категории, каждое из которых обладает своими свойствами и особенностями. В данной статье мы разберём наиболее часто встречающиеся категории вредоносного программного обеспечения для операционной системы Android и рассмотрим наиболее действенные методы борьбы с этим злом.
Удаление трояна
Наиболее популярным типом вредоносного ПО является троян . Его деструктивная деятельность заключается в сборе и отправке преступникам конфиденциальной информации, начиная от личной переписки в мессенджерах и заканчивая данными банковской карты при совершении платежа. Помимо этого данный зловред может осуществлять скрытую отправку смс на короткие платные номера, чем наносит финансовый ущерб владельцу устройства.
Для избавления от зловреда следуйте инструкции:
1)
Установите из Play Market
одно из популярных антивирусных решений для Android: AVG
, Kaspersky
, Dr.Web
и просканируйте систему на наличие вирусов.
2)
После окончания сканирования удалите все найденные подозрительные файлы.
Как правило, озвученных действий достаточно для того, чтобы очистить систему Android от троянов
.
Удаление рекламного вируса
Приложения, добавляющие рекламу также весьма распространены. В отличие от троянов, их вредоносное действие заключается в добавлении рекламы в интерфейс системы и браузер. Вследствие этого замедляется отзывчивость интерфейса и увеличивается расход трафика!
Наиболее распространённый путь попадания этого типа зловредов в систему – через установку псевдо-бесплатных игр.
Наиболее эффективным способом можно назвать установку приложения AdAvay , которое заблокирует доступ к адресам, с которых загружается рекламный контент.
Однако этот способ сопережён с некоторыми трудностями, а именно необходимостью получения root
доступа на устанавливаемом устройстве (без него приложение не работает) и установку приложения с сайта, для чего в настройках устройства необходимо поставить галочку у пункта Неизвестные источники
, который находится в Настройки
-> Безопасность
.
Если вас не останавливают эти сложности, то в результате вы практически полностью избавитесь
от раздражающей всплывающей и мерцающей рекламы в приложениях, а также браузере.
Удаление баннера-вымогателя
Данная категория зловредов блокирует доступ к интерфейсу гаджета и требует у владельца перевод денег за разблокировку. Никогда не переводите деньги мошенникам т.к. нет никаких гарантий, что после оплаты вы вернёте доступ к своему гаджету.
При обнаружении данного зловреда сделайте следующее:
1) Выключите аппарат и извлеките SIM-карту.
2) Включите аппарат и максимально быстро (до появления баннера-блокиратора) зайдите в Настройки -> Для разработчиков и там поставьте галочку напротив пункта Отладка по USB , а после в меню укажите подозрительное приложение. И, наконец, поставьте галочку у ставшего активным пункта Подождите, пока подключится отладчик .
Если в меню Выберите приложение для отладки
у вас отображается множество приложений, и вы затрудняетесь в определении вредоносного, то его название с очень высокой степенью вероятности можно подчеркнуть в Настройки
–> Безопасность
–> Администраторы устройства
.
Для повышения собственных привилегий и усложнения удаления, зловред, как правило, прописывает себя в этом списке.
Также может отсутствовать раздел меню Для разработчиков
. Для его активации необходимо зайти в меню О планшетном ПК
и несколько раз подряд нажать по пункту Номер сборки
.
Возможно, вам придётся несколько раз перезагружать устройство, дабы успеть проделать необходимые манипуляции.
3) После проведённых манипуляций интерфейс системы будет разблокирован и вам остаётся только в Настройки –> Безопасность –> Администраторы устройства снять галочку с вредоносного приложения. Это необходимо сделать для снятия привилегий, которые блокируют удаление вредоносного приложения штатными средствами системы.
4) Удалите вредоносное приложение штатными средствами, для этого проследуйте в Настройки -> Приложения -> <имя приложения>
Краткий итог
Следуя приведённым инструкциям, вы сможете быстро и без особых усилий справиться с самым разнообразным типом зловредов, что встречаются на смартфонах и планшетах, работающих на операционной системе Android.
Тем людям, которые активно используют сеть интернет, наверняка приходилось сталкиваться с баннерами вымогателями. А возможно даже удалось справиться с ними. Удаление такого баннера вымогателя не составит труда, при определенной сноровке.
Напомню, это вирусное программное обеспечение, основной целью которого является блокировка доступа к компьютеру (как правило, к рабочему столу), с целью заработка. Выглядит это следующим образом: пользователь просматривает нежелательные сайты в сети; через них вирус попадает на компьютер; при следующем включении ПК, доступ оказывается заблокирован — на весь экран высвечивается окно баннера; для разблокирования требуется отправить СМС на некий номер. Внешний вид и текстовое сообщение данного вируса может изменяться. Но остается основная суть — доступ к компьютеру закрыт, и от вас требуют отправить сообщение или пополнить указанный номер:
Что делать, если вас компьютер подвергся заражению
Несмотря на то, что у вас установлено антивирусное программное обеспечение, или вы стараетесь просматривать только знакомые сайты, остается вероятность того, что вы «подцепите» вирус. Но не стоит беспокоиться — программа баннер вымогатель не принесет особых хлопот в том случае, если вы знаете как с ней бороться.
Как удалять баннер вымогатель
Давайте разберемся, как удалить баннер блокера вымогателя. Существует несколько способов.
Способ первый
Известные разработчики антивирусного ПО создали специальные сервисы деблокеры, помогающие бороться с данном проблемой. Вот список самых популярных:
- http://sms.kaspersky.ru/ — Лаборатория Касперского.
- https://www.drweb.com/xperf/unlocker/ — Доктор Веб
- http://www.esetnod32.ru/support/winlock/ — Нод 32
Принцип работы у них схож — вы вводите указанный на картинке номер телефона и текст, который требуется отправить. Сервис подбирает возможные коды разблокировки. Этот метод хорошо подходит тогда, когда у вас нет под рукой специального программного обеспечения, или же когда вы не сильны в компьютерах.
Нужно заметить, что не всегда удается подобрать нужный код.
Способ второй
Если предыдущий вариант вам не подошел (отсутствовал доступ к интернету, не подошел код и т.д.), переходите к следующему шагу. Сейчас мы разберемся, как удалить баннер вымогатель с помощью безопасного режима Windows.
Напоминаю, чтобы зайти в безопасный режим, следует при загрузке ПК нажать клавишу F8 . Если все сделано верно, перед вами появится окно выбора режима загрузки. Выбирайте пункт «Безопасный режим» и щелкайте Enter.
Дождитесь пока Windows загрузится, и запускайте редактор системного реестра.
Напоминаю, как это делается. Нажимаем кнопку Пуск и пишем в строке запуска regedit , и жмем Enter для запуска. Тоже самое можно написать в строке запуска, вызвав ее нажатием клавиш Win+R . Если все верно, перед нами появится окно редактора реестра.
Нам необходимо открыть следующую ветку:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Для этого в меню навигации, расположенном слева, поочередно открываем указанные папки.
Когда дойдем до папки Winlogon, нам следует проверить корректность двух параметров:
- Shell
- Userinit
В параметре Shell должно быть следующее значение — explorer.exe
В Userinit — C:\Windows\System32\userinit.exe
Все должно быть в точности до одной буквы. Возможна разница в букве диска — в том случае, если система Windows у вас установлена не на диск C.
В том случае, если у вас прописаны некорректные параметры, удаляйте их и указываете верные. Для этого щелкайте два раза на строке, и с клавиатуры вводить нужные значения.
После этого закрывайте реестр, перезагружайте компьютер. Если баннера вымогателя нет — отлично. Если же не помогло, переходите к следующему варианту.
Способ третий
Вам понадобится загрузочный диск. Отлично подойдет LiveCD от Доктора веба, или Kaspersky Rescue Disk 10. Желательно подготовить их заранее, пока вам компьютер работает нормально. Следует скачать образ и записать на диск в режиме таком режиме, чтобы диск стал загрузочным. В том случае, если вы их не подготовили, и ваш компьютер оказался заражен, придется поискать рабочую машину у друзей или знакомых, и уже на ней создать загрузочный диск.
Итак, включайте компьютер, помешайте диск в CD-ROM. Предварительно нужно настроить BIOS таким образом, чтобы первичным устройством для запуска выступал именно CD-ROM. Когда система обнаружит диск, и попытается запуститься с него, вам следует подтвердить операция. Как правило, необходимо щелкнуть любую клавишу. Более подробная информация будет указана на экране.
Внешний вид оболочки немного напоминает интерфейс Windows, поэтому вы быстро разберетесь. Так, к примеру, выглядит Dr web live cd:
После того, как ПК загрузится, можно приступать к удалению программы баннера вымогателя.
Запускайте антивирусный сканер, отмечайте все системные диски, и начинайте процесс сканирования. Если будет обнаружено вредоносное ПО, его необходимо вылечить либо удалить. Как правило, этот способ позволяет практически всегда убрать баннер с вашего компьютера.
Трояны-винлокеры - это разновидность вредоносного ПО, которое путем блокировки доступа к рабочему столу вымогает у пользователя деньги - якобы если тот переведет на счет злоумышленника требуемую сумму, получит код разблокировки.
Если включив однажды ПК вы видите вместо рабочего стола:
Либо что-то еще в том же духе - с угрожающими надписями, а иногда с непристойными картинками, не спешите обвинять своих близких во всех грехах.
Они, а может быть и вы сами, стали жертвой вымогателя trojan.winlock.
Как блокировщики-вымогатели попадают на компьютер?
Чаще всего блокировщики попадают на компьютер следующими путями:
- через взломанные программы, а также инструменты для взлома платного софта (кряки, кейгены и прочее);
- загружаются по ссылкам из сообщений в соц.сетях, присланным якобы знакомыми, а на самом деле - злоумышленниками со взломанных страниц;
- скачиваются с фишинговых веб-ресурсов, имитирующих хорошо известные сайты, а на самом деле созданных специально для распространения вирусов;
- приходят по e-mail в виде вложений, сопровождающих письма интригующего содержания: «на вас подали в суд…», «вас сфотографировали на месте преступления», «вы выиграли миллион» и тому подобное.
Внимание! Порнографические баннеры далеко не всегда загружаются с порносайтов. Могут и с самых обычных.
Такими же способами распространяется другой вид вымогателей - блокировщики браузеров. Например, такой:
Они требуют деньги за доступ к просмотру веб-страниц через браузер.
Как удалить баннер «Windows заблокирован» и ему подобные?
При блокировке рабочего стола, когда вирусный баннер препятствует запуску любых программ на компьютере, можно предпринять следующее:
- зайти в безопасный режим с поддержкой командной строки, запустить редактор реестра и удалить ключи автозапуска баннера.
- загрузиться с Live CD («живого» диска), например, ERD commander, и удалить баннер с компьютера как через реестр (ключи автозапуска), так и через проводник (файлы).
- просканировать систему с загрузочного диска с антивирусом, например Dr.Web LiveDisk или Kaspersky Rescue Disk 10 .
Способ 1. Удаление винлокера из безопасного режима с поддержкой консоли.
Итак, как удалить баннер с компьютера через командную строку?
На машинах с Windows XP и 7 до старта системы нужно успеть быстро нажать клавишу F8 и выбрать из меню отмеченный пункт (в Windows 8\8.1 этого меню нет, поэтому придется грузиться с установочного диска и запускать командную строку оттуда).
Вместо рабочего стола перед вами откроется консоль. Для запуска редактора реестра вводим в нее команду regedit и жмем Enter.
Следом открываем редактор реестра, находим в нем вирусные записи и исправляем.
Чаще всего баннеры-вымогатели прописываются в разделах:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - здесь они изменяют значения параметров Shell, Userinit и Uihost (последний параметр есть только в Windows XP). Вам необходимо исправить их на нормальные:
- Shell = Explorer.exe
- Userinit = C:\WINDOWS\system32\userinit.exe, (C: - буква системного раздела. Если Windows стоит на диске D, путь к Userinit будет начинаться с D:)
- Uihost = LogonUI.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows - смотрите параметр AppInit_DLLs. В норме он может отсутствовать или иметь пустое значение.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - здесь вымогатель создает новый параметр со значением в виде пути к файлу блокировщика. Имя параметра может представлять собой набор букв, например, dkfjghk. Его нужно удалить полностью.
То же самое в следующих разделах:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Для исправления ключей реестра кликните правой кнопкой по параметру, выберите «Изменить», введите новое значение и нажмите OK.
После этого перезапустите компьютер в нормальном режиме и сделайте сканирование антивирусом Он удалит все файлы вымогателя с жесткого диска.
Способ 2. Удаление винлокера с помощью ERD Commander.
ERD commander содержит большой набор инструментов для восстановления Windows, в том числе при поражении троянами-блокировщиками.
C помощью встроенного в него редактора реестра ERDregedit можно проделать те же операции, что мы описали выше.
ERD commander будет незаменим, если Windows заблокирован во всех режимах. Его копии распространяются нелегально, но их несложно найти в сети.
Наборы ERD commander для всех версий Windows называют загрузочными дисками MSDaRT (Microsoft Diagnostic & Recavery Toolset), они идут в формате ISO, что удобно для записи на DVD или переноса на флешку.
Удалять баннеры с компьютера как с помощью диска Dr.Web, так и Касперского одинаково эффективно.
Как защитить свой компьютер от блокировщиков?
- Установите надежный антивирус и держите его постоянно активным.
- Все загруженные из Интернета файлы перед запуском проверяйте на безопасность.
- Не кликайте по неизвестным ссылкам.
- Не открывайте почтовые вложения, особенно пришедшие в письмах с интригующим текстом. Даже от ваших знакомых.
- Следите, какие сайты посещают ваши дети. Пользуйтесь средствами родительского контроля.
- По возможности не используйте пиратский софт - очень многие платные программы можно заменить безопасными бесплатными.