как удалить винлокер windows 7
Как разблокировать windows, удалить winlocker
1. Нажать комбинацию клавиш, которая открывает диспетчер задач. ( ctrl + alt + del ), завершить ненужные задачи.
2. Можно попробовать запустить меню «выполнить» сочетанием клавиш Win + R. Выполнить команду regedit, если открылся редактор реестра, то читаем дальше.
3. Если первые два варианта заблокированы, то запускаем систему в безопасном режиме. (при загрузке нажимаем F-8)
Выбираем безопасный режим с поддержкой командной строки. При запуске компьютера в безопасном режиме не запускаются никакие программы, которые прописаны в автозагрузке и запускаются автоматически.
Теперь нам надо в командной строке прописать команду regedit, чтобы запустить редактор реестра.
Далее переходим по веткам системного реестра, отвечающие за автозагрузку :
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
2. HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
Убираем ненужные и незнакомые программы, которые автоматически загружаются.
Эти программы (если есть), убирать не нужно:
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\igfxpers.exe
3. HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon
В этом разделе реестра также содержатся значения параметров, отвечающих за автозапуск различных приложений при входе пользователя в систему:
Нам нужны параметр Shell и Userinit.
В параметре Shell должно быть прописано explorer.exe
Если в этих параметрах стоит другое значение, то запоминаем или записываем его ( это есть путь к самому винлокеру, он прячется по этому адресу. )
Меняем значения на такие, которые должны быть.
Мы только удалили автозапуск вируса. Теперь, чтобы разблокировать windows, нужно удалить сам винлокер ( winlocker ).
Но если его не найдете, то можете и не удалять, он все равно не запустится уже при загрузке системы. 😉
Для этого закрываем редактор реестра, в командной строке вводим команду explorer.exe Откроется проводник.
Идём по пути, записанным вами ранее (тот путь, который был записан вместо верных значений), находим и удаляем винлокер ( winlocker ).
Но вирус может прописаться в скрытых системных папках и файлах. Для этого нужно разблокировать доступ к скрытым файлам и папкам в проводнике :
В проводнике — упорядочить / параметры папок и поиска / вид / показывать скрытые файлы, папки и диски.
Показывать скрытые файлы, папки и диски в Windows 7
В проводнике — меню / Сервис / Свойства папки / Вид, в появившемся окне удалить галочку напротив скрывать защищённые системные файлы,
ставим галочку показывать скрытые файлы и папки.
Показывать скрытые файлы, папки и диски в Windows Xp
Чтобы полностью разблокировать windows, идём по пути, записанным вами ранее (который был записан вместо верных значений — вместо userinit.exe или explorer.exe), находим и удаляем винлокер ( winlocker ).
После перезагрузки компьютера проблема исчезнет.
Чтоб таких проблем больше не было, рекомендую установить StartupMonitor
Тема: [Гайд]Winlocker. Удалить и обезвредить
Опции темы
Доброго времени суток, уважаемые форумчане. Сегодня, я хочу написать гайд об удалении и профилактике такого семейства вирусов, как Winlock(Troyan-Ransom(по классификации лаборатории Касперского) и Troyan.Winlock(по классификации Доктор Веб)).
И так, давайте вначале разберем, что такое winlock :
Часто в таких пишут следующее:
1) в случае не оплаты «штрафа» или не пополнения счета ваши данные будут удалены с жесткого диска.
Это чистая ложь. Я не разу не видел удаления файлов с винчестера или полной блокировки системы за весь опыт их удаления!
Пути распространения Winlockrerа и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре заражённых сайтов или через уязвимость ПО. Его получение возможно на любом сайте. Специальная программа может не заметно для вас скачать файл и поставить его в автозагрузку. При повторном включении ПК вирус выходит на рабочий стол.
Обычно, семейство этих вирусных программ подразделяется на простые или сложные или на три основных типа.
Сложные : тип баннеров, который загружается после полной загрузки рабочего стола Windows. Они закрывают практически весь рабочий стол, блокируют запуск диспетчера задач, редактора реестра, а также загрузку в безопасном режиме. Некоторые разновидности полностью блокируют клавиатуру, предоставляя пользователю лишь цифровые клавиши из своего интерфейса, и рабочую мышь для ввода кода.
Откуда берутся эти вирусы?
Ответ на этот вопрос очень прост. Обычно, они создаются такими утилитами, как winlocker builder v0.4 и v0.5. Скачать их может любой желающий пользователь, без каких-либо навыков программирования. Так что, любой пользователь может создать этот вирус, но не каждый может его удалить.
Можно ли привлечь создателей вируса к уголовной ответственности?
Я лично точно не знаю, но вот что нам говорит закон:
1)Никогда не переводите сумму на счет злоумышленникам! В 95% случаях после оплаты счета злоумышленников код разблокировки не приходит!
2)При возможности воспользуйтесь онлайн-сервисами подбора кода разблокировки на сайтах производителей антивирусного ПО.
3)Бывают такие случаи, когда помогает перестановка BIOS на 3-5 лет назад
Существуют разные способы удаления этого баннера. Так как чаще всего антивирусная защита нам не помогает, я озвучу вам известный способ удаления сложных winlocker»ов(действенный способ, читал недавно про него и смотрел видео. Получил вирус на сайте opel.com, и способ действительно помог. Способ для windows 7 и vista). Для этого нам понадобиться:
1)Болванка(DVD+R)
2)образ Rus Live
1) вставляем болванку в дисковод.
2) открываем папку с сохраненым образом и кликаем правой кнопкой мышки по файлу и открываем с помощью «Средство записи образов windows».
3) Нажимаем «Проверить диск после записи» и записать.
Загружается стандартная оболочка Windows XP. Затем выбираем следующее: 
Далее меню утилит и редактор реестра. На всякий случай сохраняем копию реестра, для этого жмем «Экспорт и сохраняем.
Затем нажимаем кнопку «Старт» в AntiWinLockerLiveCD и там начинается автоматический режим очистки ПК. Через 11 секунд должно выйти вот такое окно с автоматической разблокировкой:
Как мы видим программа сделала все необходимое и указала адрес на экзэмпляр этого вируса. Программа автоматически закроет данное окно.
Это можно сделать и в ручном режиме:
Нажимаем «вручную», затем выбор системы и загрузить! Во вкладке оболочка должен быть «explorer.exe», если его там нет, нажимаем исправить. Затем «выбор пользователя» и проверяем все ваши учетные записи(нажаем загрузить, если вкладки пустые, то все хорошо. Затем выгрузить, и так каждую учетную запись). Затем в «Автозагрузке» смело отключаем все параметры, кроме антивируса. В «инструменты и файлы» удаляем временные файлы. Переходим в «блокировка сайтов» и редактор HOST файлов:
Если есть надпись похожая на надпись в красной рамке, то нажимаем очистить! Эта надпись переводит нас по другому адресу IP-адресу при вводе, например vk.vom
Нажимаем сохранить и нажимаем на надпись «Для выхода. » и затем «Для выхода нажмите здесь»! После этого закрываем два последующих окна.
Затем можно удалить вирус вручную или с помощью антивирусника. На windows 7 вирус обычно лежит в папке C:/Users/ ваша основная учетная запись/AppData/Local или Roaming. Удаляем вирус и нажимаем «перезагрузка». Вытаскиваем болванку из дисковода и загружаем наш windows в обычном режиме. ВАЖНО! Сразу же включите полную проверку системы в антивируснике!
Заходим на сайт drweb.ru(если у вас есть доступ ко 2-му ПК(можно и на сайт лаборатории Касперского)). Выбираем «Поддержка» и «Бесплатная разблокировка windows». Вводим код, который указали мошенники. Если не нашли, ищите по изображениям.
Перезагружаем систему(как перезагружать при сложных winlock»ах я писал выше). До появления логотипа Windows обычно, с помощью клавишы F8 вызываем вот такое вот меню:
Включаем безопасный режим(можно проделать другой способ с командной строкой, но я его описывать не буду). Потом ищем «Восстановление системы» и переводим систему на несколько дней назад.
Вот и все! 
Просто будьте готовы к различным ситуациям
Материал взят из собственного опыта и других источников(сайты, видео).
Жду вашей адекватной критики, скоро добавлю другие способы если понадобиться. Дополняйте, ищите ошибки. При возможности, исправлю!
p.s.- данный гайд написан для windows 7.
Удаляем винлокер самостоятельно
Можно вылечить не имея под рукой ничего.
Блокировка не спасает от сей пакости,иногда и реально прилетает винлокер (cureit+ccleaner),а иногда и криптолокер можно так поймать (только бэкап спасает),я вот на stopgame.ru неделю назад словил,смеялся долго
И на всякий случай,запомните,правоохранители такой хернёй страдать не будут. развод этот стар как сам мир, антивирус не спасает от этого. в случае пугалочки(винлока нет. ) ctrl+alt+del/ctrl+shift+esc(диспетчер задач)убиваем процесс браузера и чистим кеш,если таки это винлокер,то через безопасный режим от веба(cureit) либо от других антивирусов,ну а если поймали криптолокер,те же действия,что при винлокер,но при этом надейтесь на бэкап (
Вопрос-вопросов
Без национальности
Полностью одобряю призыв не упоминать национальности в сводке криминальной хроники.
Все эти бородачи и выходцы с Кавказа тоже никуда не годится.
Вот раньше летописцы были гораздо толерантнее.
У них хорошие персонажи были добры молодцы, а плохие это нечисть поганая.
Представьте теперь как заиграют заголовки новостей.
В Новых Ватутинках нечисть поганая напала на добра молодца.
Вопрос
— Сбербанк России не должен отвечать ни по каким обязательствам Сбербанка бывшего СССР. Мы не являемся правопреемником или каким-либо преемником Сберегательного банка СССР, соответственно, ни де-юре, ни как иначе не несем ответственности по обязательствам» (с) Герман Греф, 2008 год.
Так Сбербанку 180 лет или всё-таки 30?
Учёный «наказывает» астролога
Это видео точно поднимет вам настроение:)
Как же нелепо и смешно выглядят «аргументы» астролога против логики.
Когда получил зарплату) асмр
Бизнес не идёт
Вот вам отличный бизнес-план:
Шаг первый. Собрать по кредитам необходимую сумму для аренды помещения и закупки оборудования для кофейни.
Шаг второй. Открыть кофейню у ТЦ.
Шаг третий. Начинать работать в 10. С перерывом с 10 до 11.
Шаг четвёртый. Жаловаться на отсутствие клиентов и убыточность бизнеса.
Так как работаю в ТЦ, частенько покупаю в одной и той же точке кофе по утрам. Сейчас вышел замечательный диалог с баристой, он же собственник:
-Закрывать буду точку. Совсем мало клиентов.
— Странно. Утром с 9 у автоматов очереди. Сотрудники на работу заранее приходят и каждый второй кофе берет в автомате.
-так то утром. А я ж с 10.
-так открывайся в 9. А лучше в 8. С 8 до 10 очень многим нужен кофе.
-та это ж во сколько вставать надо? Не, я так рано не хочу.
Вальхалла
Ответ на пост «»Выворачивали руки и прыгали на голове». Видео жестокого издевательства над пятиклассником сняли в пермской школе»
Гирлянда
Перешли это своему работодателю
Рейтинг падает
Вызвал Я.такси, приехал приличный Поло, новый, чистенький. За рулём с виду тоже приличный таксист (Т), мужик лет пятидесяти. Разговаривает по громкий связи со своим другом (Д), тоже таксистом.
Кажется, я знаю почему.
Youtube убирает кнопку дизлайк
Приснится же.
Приснился мне сон, что я работаю мойщиком окон. На поездах РЖД. Снаружи. Во время движения. С напарником преклонного возраста, который на этом деле килограмм мух и двух шмелей съел. Трагедия мойщика окон на поездах РЖД состоит в том, что во время работы поезд уносит тебя неизвестно куда. И там, в неизвестно кудах, ты остаешься ночевать. Специальная служба организует тебе ночлег, горячее питание и утром будит на работу. Приходишь на станцию и начинаешь работать на очередном, случайном, составе. Он тебя уносить опять неизвестно куда и далее по схеме. Так и носит тебя по просторам, родным и не очень. И домой попасть можно чисто случайно, не факт, что в этой жизни.
Так как напарник с большим стажем, случается, что попадает в какой-нибудь населенный пункт по второму разу. И тогда его там встречают с белыми цветами как ветерана труда. Вот такие новости из личной кинодраматургии.
Подсказка
Самый короткий опыт работы
Было это лет 5 назад. Устроился к нам в школу парень учителем.
Итак, понедельник, первый его рабочий день. Первый пед.совет. Парень 1,5 часа слушал план работы на неделю, потом вышел с совещания и уволился))))
Ни одного урока он так и не провёл.
Притча
Один купец ехал на ярмарку во Франкфурт и по дороге, на улице одной из деревенек, которые он проезжал, потерял кошель, в котором было 800 гульденов. Сумма огромная!
Шел по этой дороге местный плотник и нашел кошель. Принес домой. Никому о нем не сказал, а спрятал в ожидании, что может объявиться хозяин потери – придется ведь отдавать. Если не объявится – другое дело. В любом случае надо подождать.
В ближайшее воскресенье местный священник объявил в церкви, что потеряны 800 гульденов и что если кто-то их найдет и вернет, то ему будет выплачено 100 гульденов награды. Плотник в тот день в церковь не ходил, а потому узнал эту новость от жены. Взял кошель и пошел к священнику выяснять — правду ли тот говорил. Священник подтвердил свои слова. Тогда плотник показал священнику кошель и предложил ему найти хозяина денег, чтобы тот мог забрать свои деньги.
Священник послал за купцом. Купец прибыл. Взял кошель. Пересчитал деньги и дал плотнику 5 гульденов со словами: «А сто гульденов ты взял без спросу сам, так как в кошеле было 900 гульденов!».
Плотник возмутился, что его обвиняют в воровстве и заявил:
— Я не единого гульдена не взял, не то, что сотни. Я ведь человек верующий.
Священник подтвердил, что плотник глубоко верующий человек и соблюдает заповеди Господни, а потому он не мог взять этой сотни гульденов. Купец стоял на своем. Спор закончился тем, что священник отвел и плотника и купца в суд города Франкфурта.
Дело разбиралось несколько дней, став предметом многочисленных обсуждений у местных жителей. И поэтому в день, когда суд должен был вынести свое решение, в здании суда было полно народа. Всем было интересно, чем закончится это дело.
Судья, который главенствовал тот день в суде, обратился первым делом к купцу:
— Ты можешь присягнуть, что потерял именно 900 гульденов?
Купец положил руку на Библию, и присягнул. Судья обратился к плотнику:
— Ты можешь присягнуть, что нашел 800 гульденов?
Плотник положил руку на Библию и присягнул.
— Дело очевидное, — вынес свой вердикт судья. – Кошель, который нашел плотник не принадлежит купцу, потерявшему свои 900 гульденов. Потому кошель и 800 гульденов передается плотнику и тот может распоряжаться деньгами по своему усмотрению. Купцу же надлежит продолжить поиски своего кошеля, в котором было 900 гульденов!
Купцу пришлось отдать плотнику 800 гульденов и остаться ни с чем. А не пожадничай он, отдай в качестве вознаграждения 100 гульденов, как обещал, то остался бы с деньгами.
Винлокеры — удаление, когда больше нечего делать
История винлокеров тянется уже давно. Особенно было интересно в декабре 2009 — январе 2010 с появлением семейства Digitala. Интересно потому, что умудриться организовать заражение с функционалом руткита ZeroAccess (Get Accelerator) или выполнять подгрузку вредоносной библиотеки из ADS-потока с контролем и блокировкой антивирусных процессов (iLite Net Accelerator) — это, знаете ли, не политики проводника менять и userinit дописывать! А идея дропаться после связи с командным сервером — в итоге сейчас старые дропперы не работают, а прекрасно работали ещё в феврале? Мда, обнищал нынче народ на идеи — ну да ладно! 🙂
Речь пойдёт не о «монстрах» дела блокировки Windows, а о куда более убогих их собратьях, коих процентов 90. Итак, ситуация: у Вас весёлое окно с вымогательством и нерабочая система.
1. Попробуйте узнать код разблокировки с помощью вот этого сервиса (или вот этого и вот этого). Если код не поможет, продолжайте по следующим пунктам. Если поможет — переходите сразу к пункту 5.
2. Если можно запустить софт с окном блокиратора — делаем логи, выкладываем там же, почистить можно 🙂 Запуск можно сделать с помощью вот этой информации, хотя и не всегда помогает.
3а. Если запускаться не удаётся — грузимся в безопасном режиме.
3б. Если безопасный заблокирован — грузимся с LiveCD.
И в 3а и в 3б заходим в папки:
C:\Documents and Settings\All Users\
C:\Documents and Settings\Имя_Пользователя
C:\Documents and Settings\Имя_Пользователя\Application Data
C:\Documents and Settings\Имя_Пользователя\Local Settings
C:\Documents and Settings\Имя_Пользователя\Local Settings\Application Data
C:\Documents and Settings\Имя_пользователя\Главное меню\Программы\Автозагрузка
и аккуратно упаковываем в архив все exe-файлы, после чего их удаляем. Удобнее всего это сделать, организовав поиск в папках по маске «*.exe», потому что нужно проверить вложенные папки по этим путям тоже.
4. Упаковываем в zip-архив и удаляем абсолютно всё здесь:
C:\Documents and Settings\Имя_пользователя\Local Settings\Temporary Internet Files
C:\Documents and Settings\Имя_пользователя\Local Settings\Temp
C:\WINDOWS\Temp
C:\Temp
5. Пробуем загрузиться в нормальном режиме. Если удалось — сразу делаем логи, выкладываем там же.
Почему так важно провести сбор логов даже если окажется, что Вы удалили зловред, угадав код или вручную удалив файлы? Дело в том, что в своё время было достаточно много винлокеров-пустышек, удалявшихся достаточно просто при вводе любого кода. Или же в сети на каждом углу «гремел» рецепт удаления такого зловреда. Все его выполняли и чувствовали себя кулхацкерами, уделавшими вирмейкера. Как бы не так!
Суть таких пустышек была не заблокировать систему, а установить на не другой вредоносный файл, например, ZBot. При этом после «лечения» радостный пользователь даже не предполагал, что на самом деле он остался заражён.
Вариант 6. Если на Рабочем столе красуется баннер и ничего не работает, а при одновременном нажатии клавиш CTRL ALT DEL Диспетчер задач запускается и закрывается через долю секунды (грубо говоря моргает), то не всё так плохо! Делаем следующее- Зажимаем все три кнопки CTRL ALT DEL и не отпуская пробуем найти и закрыть эту заразу в процессах (вторая слева вкладка, выбираем подозрительный процесс и нажимаем кнопку Завершить процесс справа внизу окна). Ну а дальше Вариант 1-3 Вам в помощь! И не бойтесь чего испортить. Максимум компьютер повиснет.
Вариант 7. Заходим в БИОС компьютера и пробуем перевести часы компьютера на несколько дней вперёд. Бывает, что информер или баннер пропадает (редко, но бывает помогает).
Цитата с официального сайта:
«Диск аварийного восстановления системы
Если действия вредоносных программ сделали невозможной загрузку компьютера под управлением Windows или Unix, восстановите работоспособность пораженной системы бесплатно с помощью Dr.Web LiveCD!
Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и скопировать важную информацию на сменные носители или другой компьютер, а также попытается вылечить зараженные объекты.»
Цитата с официального сайта:
«Dr.Web LiveUSB — продукт, позволяющий провести аварийное восстановление операционной системы с помощью загрузочного USB-накопителя.
Предназначен для работы в операционных системах Windows (32- и 64-битные версии). Для загрузки с флеш-накопителя BIOS вашего компьютера должен поддерживать устройство USB-HDD в качестве загрузочного.»
Цитата с официального сайта:
«Kaspersky Rescue Disk предназначен для проверки и лечения зараженных x86 и х64-совместимых компьютеров. Программа применяется при такой степени заражения, когда не представляется возможным вылечить компьютер с помощью антивирусных программ или утилит лечения (например, Kaspersky Virus Removal Tool), запускаемых под управлением операционной системы. При этом эффективность лечения повышается за счет того, что находящиеся в системе вредоносные программы не получают управления во время загрузки операционной системы.»
ERD Commander 5.0
Образ загрузочного диска со всеми необходимыми средствами для удаления баннеров, вымогалок и информеров.
— редактор реестра восстанавливаемой системы
— откат системы до ранее созданной точки восстановления
— управление дисками
— средство сброса системных паролей
— редактор автозагрузки
— управление службами и драйверами
— просмотр системных событий
Ссылка на программы записи образов находится выше.