Удаление блокировщика Windows самостоятельно

         Например, вы скачали некую программу с интересным описанием и положительными комментариями, но.. на весь рабочий стол вылетает картинка с голой тетей или сообщение "Ваша версия Windows заблокирована", c последующими требованиями отправить СМС на указанный номер или пополнить электронный кошелек, в противном случае вам угрожают безвозвратным удалением Windows и BIOS.

 

Данные блокировщики бывают двух типов. Первый тип блокировка непосредственно Рабочего стола Windows уже после загрузки Windows. Второй тип это подмена загрузочного сектора Windows, в данном случае до загрузки Windows дело не доходит, и сообщение о блокировке выскакивает сразу после включения компьютера, обычно белыми или красными буквами по черному фону.

 

Bannerexample1

Bannerexample2

Bannerexample3

 Выше приведены типичные примеры блокировщика первого типа.         

 

           Bannerexample5

           Bannerexample5 

             Примеры второго типа  блокировщиков, в загрузочном секторе.

 

          Первое и единственное правило – никогда не делайте того, что от вас требуют в данных баннера, не полоняйте никому счет, и не отправляйте никаких СМС, все это не даст никаких результатов, кроме траты некой суммы денег.

      Ниже мы приведем несколько способ вылечить данную напасть. Первое что необходимо выяснить какой из двух выше перечисленных типов блокировщика завелся у вас. Сделать это можно оперевшись на примеры картинок выше, если у вас загружается Windows а затем появляется блокировщик, то это первый тип, если блокировщик появляется сразу после включинеия вашего ПК, то это второй тип.

            Предположим вы поймали блокировщика первого типа. 

 

Способ №1 

 

      Перезагружаем компьютер и во время перезагрузки периодически нажимаем кнопку F8 для вызова меню дополнительных вариантов загрузки системы, выглядит оно практически одинаково как в WindowsXP так и в Windows 7.   

Boootmenu1

Если вы видите на экране тоже, что и на картинке выше, то вы все сделали правильно.

Выбираем строку «Безопасный режим с поддержкой командной строки» и жмем ENTER

            Safemode1

Если безопасный режим удачно загрузился и вы видите примерно то что на картинке выше то вы на пол пути к успеху, если же по каким-то причинам вам не удалось войти в безопасном режиме, либо блокировщик мешает нам и здесь, то не читаем способ №1 дальше, а сразу переходим к способу №2.

 Набираем в командной строке regedit и жмем Enter, вследствие чего должно открыться окно редактора реестра.

regedit1

Начнем с самого популярного места размещения блокировщика в системном реестре. Это ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon.

            regedit2

Черными рамками выделены интересующие нас параметры.

— параметр Shell должен иметь строковое значение Explorer.exe, но для верности лучше прописать полный путь C:\Windows\explorer.exe

— параметр UIHost должен иметь строковое значение logonui.exe

 — параметр Userinit должен иметь строковое значение C:\Windows\system32\userinit.exe, (запятая в конце)

Если у вас в этих параметрах указаны другие значения, то смело меняйте их так как указано выше.

Примечание иногда параметр UIHost Будет отсутствовать вовсе, не беда, это свойственно некоторым ОС.

Теперь проверим ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

           regedit3

             Каждый параметр здесь — это программа, автоматически запускаемая при загрузке Windows.

        Проверьте все эти программы и отключите загрузку подозрительных программ. Подозрительными прежде всего являются те программы, которые находятся в папках

C:\temp,

C:\DocumentsandSettings\%username%\LocalSettings\Temp,

C:\Users\%username%\LocalSettings\Temp,

C:\DocumentsandSettings\%username%\LocalSettings\TemporaryInternetFiles,

C:\Windows\Temp и т.п.,

      где %username% - имя вашей учетной записи. Отключить подозрительные можно, нажав на них правой кнопкой мыши и выбрав опцию удалить. Теперь нужно проверить две подобные предыдущим ветки реестра, но для конкретного пользователя. \

Этоветки

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, либо 

HKEY_USERS\%username%\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и

HKEY_USERS\%username%\Software\Microsoft\Windows\CurrentVersion\Run

      Где %username% имя пользователя под которым вы обычно работаете, если таковых пользователей несколько, то необходимо проверять для каждого из них.

            Иногда баннер прописывается в ключе реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs.

            Значение этого ключа обычно пустое либо там прописывается антивирус.

           regedit4

Если в значение данного параметра прописан путь к подозрительному файлу, то необходимо это стереть и оставить строку пустой.

          Проверив и при необходимости исправив все ветки, редактор реестра можно закрыть. Перезагружаем компьютер и если вы все сделали правильно, то Windowsразблокируется.

Способ №2 

Если безопасный режим тоже оказался заблокирован, вам понадобится загрузочный диск или флешкаc наличием ERDCommander. Найти образ данного загрузочного диска достаточно легко на просторах интернета. Приведу пример одного из  таких сайтов с ссылкой на образ ERDCommander http://www.ex.ua/4707409

После того как вы обзаведетесь данным диском или флешкой, вам необходимо при перезагрузке компьютера в BIOS или в BOOTMENU выбрать загрузку с CD-ROM или USBFLASH в зависимости от того каким носителем вы обзавелись.

После загрузки появится окно с запросом, к какой ОС подключаться. Выбираем путь к своей папке windows и жмем ОК (если у вас Windows XP)

erdbootmenu1

Если у вас Windows 7, то до выбора пути к ОС нужно ответить еще на несколько вопросов. На вопрос Инициализировать подключение к сети в фоновом режиме? отвечаем Нет. Переназначить буквы дисков таким образом, чтобы они соответствовали буквам дисков целевой операционной системы?Отвечаем Да.

     Дальше выбираем раскладку клавиатуры. После выбираем путь к целевой ОС и жмем Далее.

erdbootmenu2

   Нам понадобится редактор реестра, чтобы убрать записи баннера из реестра Windows. Чтобы поправить реестр зараженнойвинды выбираем меню Start - AdministrativeTools - RegistryEditor (для WindowsXP).

erdbootmenu3

  Если же у вас семерка, меню ERD Commander'а будет отличаться. В первом окне нужно выбрать пункт меню MicrosoftDiagnosticsandRecoveryToolset для запуска средств восстановления ОС. В появившемся окне с набором инструментов выбираем Редактор реестра ERD.

erdbootmenu4

    После открытия редактора реестра, проверяем все ветки описанные выше в способе №1 при необходимости исправляем их, перезагружаем компьютер и Windows будет разблокирован.

     Далее мы рассмотрим решение проблемы в случае заражения компьютера вторым типом блокировщикаWindows, прописанном в загрузочном секторе.

      Ниже мы приведем два способа решения данной проблемы. 

Способ №1

  Нам понадобится любой LiveCDWindows и предварительно скачанная на другом компьютере, и скопированная на флешку лечащая от вирусов утилита Cureit от Dr.Web, которую можно скачать по ссылке http://www.freedrweb.com/cureit/.

       После того как все выше перечисленное будет у вас в наличие, вам необходимо при перезагрузке компьютера в BIOS или в BOOTMENU выбрать загрузку с CD-ROM или USBFLASH в зависимости от того каким носителем вы обзавелись, и загрузить LiveCD систему. После чего обычным способом запускаем скачанную ранее утилиту Cureit.

cureit1

              Выше приведен пример вылеченного загрузочного сектора.

        Обычно достаточно подождать 5 минут при быстрой проверке до нахождения трояна Trojan.MBRlock и выводв запроса о лечении. Смело выбираем лечить. Можем не дожидаться окончания проверки, жмем стоп, закрываем утилиту и перезагружаем компьютер. Если вы все сделали правильно загрузочный сектор вылечится и пойдет загрузка Windows. 

Способ №2

          Вам понадобиться установочный диск WindowsXP или Windows 7 в зависимости от того какая ОС у вас установлена (В случае с Windows 7 также подойдет диск c ERDCommander для Windows 7). 

     Если у вас установлена Windows 7 , вставляем диск с соответствующей ОС, загружаемся с него предварительно выбрав необходимое устройство в BIOS или BOOTMENU. 

windowsbup1

    В первом окне выбираем «Восстановление системы».

     На вопрос Инициализировать подключение к сети в фоновом режиме? отвечаем нет. Переназначить буквы дисков таким образом, чтобы они соответствовали буквам дисков целевой операционной системы?Отвечаем Да.

      Дальше выбираем раскладку клавиатуры. После выбираем путь к целевой ОС и жмем Далее.

windowsbup2

После нажатия кнопки "Далее" появится окно с утилитами восстановления и там можно выбрать "Командная строка"

windowsbup3

 В появившемся окне нужно набрать команду bootrec /fixmbr

windowsbup4 

            Нажать Enter, и за секунду загрузочный сектор будет перезаписан и сотрет вирус-загрузчик.

windowsbup5 

            Далее остается только перезагрузить компьютер.

          Если же у вас WindowsXP вставляем диск с ОС WindowsXP, загружаемся с него предварительно выбрав необходимое устройство в BIOS или BOOTMENU.

         Когда установка прогрузится, она должна предложить варианты. Нам нужен режим восстановления из консоли. Нажимаем – R

windowsbup6 

        Консоль просканирует диски и предложит список обнаруженных Windows, нужно ввести номер Windows – 1 и нажать Enter

windowsbup7 

          Затем вводим команду fixmbr, и на предупреждение подтверждаем – вводим y и Enter.

windowsbup8 

          Все, теперь загрузочный сектор восстановлен, можно перезагружаться и попадете в систему.

          На этом все.

      После выполнения каждого из выше перечисленных способов вам необходимо обновить антивирусную программу, либо воспользоваться утилитами лечения от Dr.Web и Kaspersky, для последующего сканирования всех ваших дисков и удаления остатков блокировщикаWindows. 

 

 

 

Дополнительная информация