Вирус блокирует Windows, требует отправить SMS для разблокировки системы. «Trojan.Winlock.3300» Методы!
Здравствуйте! Сегодня сидел и думал, чтобы такого интересного написать, на свой новый блог! И по какой-то «неопределенной закономерности» — случайности, на мой домашний ноутбук проник вирус (Trojan.Winlock), блокирующий Windows, и требующий отправить 200 грн. на счет Webmoney с кошельком U383593510183. «Скорей всего данный вирус проник ко мне, через прокси-сервер CCProxy, так как интернет я раздаю, 4-ем своим друзьям именно через прокси!» В какой-то момент времени я даже вздохнул с облегчением, и подумал: вот так и пришел ко мне мой новый пост, в моем новом блоге! В голове я обдумывал, как я выйду из данной ситуации.
На тот момент я думал, что справлюсь с этим вирусом минут за 15, но не тут, то было, зайти в безопасный режим и добраться до реестра, к сожалению не удалось. Но все же, если это удастся, Вам необходимо сделать следующее:
Советы к статье!!!
- На сегодняшний день, блокирующих Windows вирусов, достаточно много и все они разные, поэтому рекомендую проверить каждый из способов! (мне в свое время помог каждый из способов)
- Если вирус-вымогатель «Trojan.Winlock.3300» требует отправить деньги на счет Webmoney! Сразу переходите к способу №4 (нажимаем, сюда — переходим к статье), если не помог переходим к другой статье (нажимаем, здесь), если и этот вариант не помог, переходим к способу №5 (он ниже, в этом посте).
Способ №1! (Если баннер появился до загрузки рабочего стола, экран заблокирован.)
- Нажмите комбинацию клавиш Ctrl+Shift+Esc и держите, пока не начнёт мигать диспетчер задач.
- Не отпуская клавиш Ctrl+Shift+Esc, мышкой кликните на диспетчере задач «Cнять задачу».
- В диспетчере задач нажмите «новая задача» и введите «regedit»
- Перейдите в раздел HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> WindowsNT -> CurrentVersion -> Winlogon
- Перейдите на правую панель редактора реестра и проверьте два параметра “Shell” и “Userinit”. Значением параметра «Shell» должно быть «Explorer.exe». Параметр Userinit – «C:WINDOWSsystem32userinit.exe,» (обязательно в конце запятая)!
- Если параметры “Shell” и “Userinit” в порядке, найдите раздел HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> WindowsNT -> CurrentVersion -> Image File Execution Options и разверните его. Если в нем присутствует подраздел explorer.exe, удалите его.
- Перезагрузите компьютер.
- Обязательно проверьте компьютер на вирусы установленным антивирусом или утилитой от Dr.Web'а
- В случае неудачи проделайте этот способ в безопасном режиме.
Есть еще один, самый простой способ, которым я никогда не пользуюсь, потому что мне он ни разу не помог, но проверить стоит, может именно Вам он поможет. Назовем его способ №1.1!
Способ №1.1 (Самый простой способ для случая, когда Windows загружается и на экране появляется баннер)
Заходим на сайт разработчика антивирусного программного обеспечения и воспользоваться формой для получения ключа разблокировки. Аналогичную операцию можно проделать, перейдя на сайт компании После того, как баннер исчезнет с рабочего стола, обязательно проверьте компьютер на вирусы.
Когда я понял, что данные способы не прокатят, сразу же вспомнил о втором способе, который ранее очень часто выручал меня.
Способ №2! (Когда Windows, не грузится в безопасном режиме)
В ситуации, когда требуется удалить баннер с рабочего стола, а операционная система не грузится, ни в обычном, ни в безопасном режиме, лучшим вариантом будет еще один компьютер. Если таковой имеется, делаем все как в способе №1! Если же такого компьютера нет под рукой или где-нибудь рядом у соседа, необходимо взять LiveCD , , загрузившись с которого вы всегда сможете проверить свой компьютер на вирусы. Почти все антивирусные программы с последними обновлениями лечат компьютер от баннера на рабочем столе.
Данный вариант тоже не оправдал моих надежд, после чего я решил воспользоваться еще одним способом, известным мне!
Способ №3! (Утилита Kaspersky WindowsUnlocker для борьбы с программами-вымогателями)
Способ заключается в следующем, Вам необходимо воспользоваться , для борьбы с программами-вымогателями, вся инструкция описана на страничке их сайта, ссылочку которой я привел чуть выше!
Если данный способ не заработал, как в моем случае, скорей всего из-за старой базы, данной утилиты, переходим к способу №4!
Способ №4! (Вирус блокирует загрузку Windows, и просит отправить на Webmoney кошелек 150-200 грн. «Trojan.Winlock.3300»). ERD Commander.
Так как статья по удалении баннера с рабочего стола с помощью ERD Commander, когда компьютер не грузится в безопасном режиме, получилась довольно таки объемной. Я решил написать ее в отдельном посте (нажимаем, сюда — переходим на статью)
Способ №5! (Вирус блокирует загрузку Windows, и просит отправить на Webmoney кошелек 150-200 грн. «Trojan.Winlock.3300»). LiveCD by Alkid.
Загружаемся с LiveCD, качаем здесь или и с помощью команды regedit в «ПУСК далее ВЫПОЛНИТЬ» и в строке пишем «regedit» (без кавычек), после чего нам необходимо попасть сюда «HKEY_LOCAL_MACHINE -> SOFTWARE -> MicrosoftWindowsNT -> CurrentVersion -> Winlogon» после чего находим файл «Shell» в которой по всей видимости примерно следующее «C:Documents and Settings -> All Users -> Application -> Data -> 22СС6С32.exe»
- Идем на сайт , и анализируем данный файл.
- ***Если нет возможности проанализировать файл и узнать антивирусную программу, сканируем одноразовым антивирусом (запускаем полное сканирование системного диска).
В результате мы видим, что вирус заменил собой такие системные файлы:
«С://WINDOWS/System32/userinit.exe» (Отвечает за процесс загрузки системы),
«С://WINDOWS/System32/taskmgr.exe» (Диспетчер задач Windows)
После того как антивирус удалил все эти файлы, Ваша операционная система не загрузиться, так как системные файлы уничтожены, поэтому поэтому дальнейшее, что мы с Вами сделаем, это восстановим оригинальные файлы userinit.exe, и taskmgr.exe на место.
Для этого устанавливаем диск Windows. Находим на нём файлы-архивы userinit.ex_ и taskmgr.ex_, далее распаковуем из них оригинальные файлы и ложим на место уничтоженных сначала вирусом, а за тем нашим антивирусом.
Только теперь можно считать, что угрозу мы предотвратили и Windows загрузится.
Совет на будущее!!! (Самый последний способ-совет, если не помогли другие способы борьбы с вирусами блокирующими Windows).
Как делать откат операционной системы (ОС) Windows, с помощью Ghost?
Если что-то случилось с вашей операционной системой, толи это вирус, толи что-то другое, всегда держите под рукой сборочку LiveCD или (по ссылочке, Вы перейдете на скачку моей сборочки, с утилитой Symantec Ghost 11.5, с уже подгруженными SATA драйверами, для ноутбуков и ПК, с новыми жесткими дисками)
Как данная сборка LiveCD вам поможет?
- Для начала вам необходимо скачать образ загрузочного диска или .
- Записать LiveCD на носитель CD-R или USB.
- Установить заново Windows, поставить Драйвера (если необходимо), после чего установить минимум необходимого Софта, если же лень устанавливать систему заново, можете сделать резервную копию (клонирование), операционной системы Windows, той которая у вас уже установлена и которую позже вы захотите откатить Что значит — сделать клонирование данной ОС, программой GHOST? Чтобы вы понимали, по времени это занимает от 15, до 20 минут (в течении которых Вы беззаботно пьете чай).
- Записать на носитель или же оставить на жестком диске.
И так подведем итог, отметим плюсы данного метода.
После того, как что-то случилось с вашим любимым Windows!
- вы не бегаете в панике в поиске драйверов;
- вы не думаете, что вам лень переустанавливать винду и сильно не расстраиваетесь по этому поводу;
- восстановить Windows, с набором программ, и необходимых драйверов займет у Вас каких-то 15 – 20 минут, и нет нужды искать где-то или качать где-то Windows!
| Если вы хотите быстро и оперативно получать последние новости и статьи блога, рекомендуем подписаться на обновления блога. Получать обновления по электронной почте: |
| Добавить в закладки социальных сетей, (поделись с друзъями интересной заметкой!) |
|
- Связанные записи (схожие по тематике посты)
- Предыдущие из рубрики записи
Понравился пост? Подпишись на обновления по !
О блоге! «M.E.S Blog.com.ua» - это мой персональный блог в мировой «Интернет паутине», на котором я буду писать свои мысли, заметки, на тематику: Веб-Дизайн, Сайтостроение, SEO раскрутка, Оптимизация, как Заработать в интернете, реанимация ПК своими руками и о многом другом, что волнует и беспокоит меня. Рад приветствовать вас на своих страницах! :)
Спасибо за ценный пост! Сегодня была заражена вирусом, который требовал отправить 200 гривен, на счет Webmoney. Это кстати какой-то новый вирус скорей всего, так как раньше просил отправить смс и все эти методы помогали, а вот этот новый, не как не могла его побороть, помог только 3-ий способ! Большое Вам спасибо.
Мда! Вирус действительно скорей всего новый, несколько моих друзей тоже пострадали от него, многим помогает метод «утилитой Kaspersky WindowsUnlocker», но мне он почему-то не помог.
Большое спасибо за пост, долго пытался решить проблему, помог 4 способ.
Помогло восстановление системы c установочного диска Виндовс. Даже не думал что так просто будет, уже Лыв сиди в привод хотел вставить. Правда выбило типа тыры пыры — ошибка,но после перезагрузки все стало нормально. Для контроля поискал в реестре — ничего не обнаружил. Система Виндовс7максимальная. Цепонул вирус с извещения эл почты (подписка на Ютубе)
Дружише, спасибо!
Я уже всё перерыл, почистил руками, отправил заразу на сайт дрвеба на проверку, узнал кто поселился. Казалось бы всё, но после ребута опять сначала. А дело за малым — вот про это упустил:
А CureIt с WinPE стартовать не захотел :(
П.С. нашел статью по запросу «winlock 3300 22сс6с32»
Всегда пожалуйста Сергей. Сам страдал от этого вируса, но у меня даже безопасный режим не загружался, решил проблему с помощью 4 способа! :)
безопасный тоже не работал — всё через winpe
сегодня обнаружил на ноутбуке «сюрприз» требующий пополнить счёт вэбмани. Слава богу смог запустить ось в безопасном режиме. Через поиск нашёл какой-то подозрительный файл «95.exe» и удалил его. Перезагрузил и о чудо! система работает!!! Сейчас антивирусов проверяю систему и чищу регистр.
Опять попал на такую тему (хз — вроде по порносайтах не лажу :) ) . Вылетело окно на четверть экрана — курсор в пределах этого окна и никуда больше. Нажал CTRL+ALT+DEL (слава богу сработало). Выход из системы. Сменить пользователя. Опять зашел под своим же Юзером — ОКНА НЕТ ВСЕ РАБОТАЕТ. Я сразу откат системы на более раннюю точку сохранения и все. Щас все ок.
p.s. не всегда данный способ канает,к сожалению, но иногда срабатывает,так как и банальное восстановление системы с диска
Это да, смотря какие баннеры, есть которые не дают зажать сочетание клавиш CTRL+ALT+DEL. Но все хорошо, что хорошо кончается. :)
у меня проблема по серьезней, виндовс заблокирован и не дает загружаться даже диску, обычно сносил винду что бы долго не парится, а на етот раз не выходит. Просит 630грн на номер 380684832878.что делать?
Вы про CD-Rom? Как правило такого быть не должно, скорей всего у вас просто что-то не так с CD-Rom-ом, у меня как-то такое было, я им не пользовался, а когда винда упала решил сделать откат. Вставляю диск, и ничего, поехал поменял сидиром и все нормально...
Есть еще один не хитрый способ. У меня вчера тоже такая зараза просочилась на комп, клавиатуру блокирует, в безопасном режиме тоже ничего не дает сделать, все выше перечисленное не помогло.
Выход нашел: загрузился в безопасном режиме с поддержкой командной строки, потом с командной строки запустил explorer, он на удивление загрузился и без вируса. Ну а дальше Пуск->Пргораммы->Стандартные->Служебные->Восстановление системы и на два дня назад откатил и все заработало. Стоит ИксПи. Вирус просил отправить 300 грн на wmu кошелек.
Ну не всегда можно откатится, не всегда пускает в среду!(
Всем доброго времени суток. спасибо за статью, не всю правда прочитал.
Была та же фигня с блокировкой винды, перепробовал много всякого, помоголо очень простое решение сразу после приветствия (после загрузки винды) вирусня еще не успела запустится я запускаю ярлык «мой компьютер» и тут же диспетчер задач, спустя пару секунд после этого запускается вирусня и блокирует винду, но alt + tab работает и я перехожу в диспетчер задач и снимаю задачи с неизвестных мне приложений (которые были запущены администратором).
Этот вирус оказался под названием 114.ехе, после того как я его закрыл через диспетчер задач (винда разблокировалась), нашел его поиском в document and settings ..., а второй в system 32, удалил оба и очистил корзину, потом прогнал на антивирус и ВСЕ!