Главная » 2011 » Январь » 20 » Как разблокировать windows от вируса Trojan.Winlock?
14:15
Как разблокировать windows от вируса Trojan.Winlock?
Пару дней назад опять увеличилось количество обращений ко мне по поводу
блокировки Windows после загрузки вирусным баннером, который не
позволяет пользователю совершать какие -либо действия на компьютере,
кроме ввода значений в поля всплывающего окна.
Например такого:
Чтобы разблокировать windows и избавится от этого вирусного заражения и других подобных, в большинстве случаев помогает такой способ удаления баннера с рабочего стола:
Качаем с другого компьютера образ диска с ERD Commander 5.0 (если у вас windows XP), ERD 6.0 x86 (если у Вас Vista с 32bit разрядной архитектурой), ERD 6.0 x64 (если у Вас Vista с 64bit разрядной архитектурой), ERD 6.5x86 (если у Вас Windows7 с 32bit разрядной архитектурой), ERD 6.5 x64 (если у Вас Windows7 с 64bit разрядной архитектурой).
Записываем образ ERD на болванку любой программой для записи CD/DVD
На зараженном компьютере загружаемся в BIOS (нажимаем клавишу Del при загрузке - на ноутбуках комбинация может отличаться, часто можно посмотреть внизу при загрузке)
В разделе BOOT ставим первым загрузочным устройством привод с нашей записанной болванкой
Перезагружаемся и ждем пока загрузится ERD Commander (когда он будет опрашивать сетевые интерфейсы, можно этот этап пропустить, нажав на кнопку SKIP)
В первом появившемся окне выбираем операционную систему, в которой вылезает вирусный баннер, блокирующий действия пользователя (если windows одна установлена на компьютере, то это самая верхняя строчка)
После загрузки запускаем через кнопку Пуск редактор реестра зараженной windows и ищем ветку реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]
Меняем измененные параметры Userinit на C:\WINDOWS\system32\userinit.exe, (именно с запятой!!!) и Shell на Explorer.exe
В разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] убираем значения из автозагрузки не внушающие доверия (особенно обратите внимание на пути к файлам , лежащим на рабочем столе или в папке windows или system32
Если не удалены точки восстановления системы, пробуем до кучи откатится назад, на дату предшествующую появлению проблемы
После того как баннер пропадет, проверяем систему антивирусом
Vsevolod ОГРОМНОЕ СПАСИБО ЗА ВСЮ ИНФОРМАЦИЮ А ТО ЭТОТ ВИРУС КАЖДУЮ НЕДЕЛЮ ЛОВИЛ НЕ ЗНАЛ ЧТО ДЕЛАТЬ С КОМПОМ ЕЩЁ ОДИН ВОПРОС У МЕНЯ СЕЙЧАС ЧИСТЫЙ ЭКРАН РАБОЧЕГО СТОЛА НЕ ВИДНО ЧТО ДЕЛАТЬ
кстати необязательно этот образ. я пользовался диском восстановления виндовс 7 (использовал для хп), так вот главное запустить коммандную строку, и уже с нее делать все что заблагорассудиться
сейчас вот сам поймал немног измененный вирус, он заменяем юсеринит! своим юсеринитом)) (и таскменеджер тоже) удаляю с реестра и сам файл (кот прописан в реестре), перезагружаюсь а он опять выскакивает. Вывод удалить юсеринит и таскмгр и заменил с диска установки винды. сейчас вот без входа в систему сижу, качаю с касперского прогу какую-то (чтоб наверняка). а то Cure it не помогает совсем
Сделал как описано,но после перезагрузки чёрный экран с указателем в центре.Слава богу хоть банер пропал,это уже радует.Подскажите что с этим делать.За ранее благодарен!
посмотрите внимательней правильно ли прописали Explorer.exe в реестре - не должно быть пробелов и т.п. + уберите из автозагрузки через реестр все подозрительные на ваш взгляд программы - из этих разделов http://argon.pro/windows/winxp/xpautorun (они все рядом в реестре расположены, в соседних папках, так что быстро проверить их не составит труда) http://clip2net.com/clip/m34542/1303743914-clip-91kb.png
попробуйте загрузится в безопасном режиме (или через тот же ERD) и воспользоваться восстановлением системы Пуск-стандартные-служебные-восстановление системы, выбрав точку восстановления, предшествующую дате появления проблемы. Еще не исключена ситуация, что вирус повредил сам файл explorer.exe
в данной ситуации по крайней мере вы можете вызвать диспетчер задач (ctrl+alt+del), и через кнопку "новая задача" - запускать необходимые вам программы, для дальнейшего лечения системы - браузер, антивирусные утилиты, соединение с Интернет и т.п. Также желательно проверить запускается ли проводник, введя в названии новой задачи explorer.exe - если да, то в реестре что-то неправильно написали, либо русские буквы присутствуют, либо пробелы (реестр тоже запускайте через "новая задача-regedit")
Спасибо через диспетчер задач получилось выйти на рабочий стол и запустил сканир антивирусом. От меня огромное спасибо,есть же всё таки ещё на свете хорошие люди!!!
Спасибо, а то загрузочный каспера так и не включался, нашел эту инструкцию... Кстати вирул лочит все режимы НО: Помогает загрузка в безопасном режиме НО с поддеожкой командной строки, появляеться экран вируса, но потом отключаеться, далее возможно нажать КОНТРЕЛ+АЛЬ+ДЕЛ, потом с 7 пунктта!!!
все тоже самое, как в статье по пунктам указано, можно попробовать в безопасном режиме загрузится и через него попасть в редактор реестра, однако зачастую баннер вылезает и в безопасном режиме
Здравствуйте, Vsevolod! Подскажите пожалуйста как быть! Загрузившись в безопасном режиме и попав в реестр, в пункте Shell и Userinit удалили все. В результате при включении компьютера, не успев выйти на рабочий стол он сам выключается. Возможно ли это еще исправить?
можно, но уже только загрузившись с CD/DVD диска, позволяющего править реестр поврежденной windows (тот же ERD commander к примеру) или же (получается не всегда, поэтому сначала вытаскиваем все нужные документы и фото с диска перед такой манипуляцией) установкой windows в режиме восстановления (поверх поврежденной) с установочного диска той же версии windows, что и была установлена.
Главная 
