Удаление вируса trojan winlock. Классификация различных вендоров

Снимается он достаточно просто, уже давно такие антивирусные гиганты как Лаборатория Касперского и Dr.Web подготовили Live CD для этих целей. Рекомендую скачать и записать на диск на всякий случай. Итак наши действия:

1. Проверяем на сайтах производителей антивирусов возможность подбора кода для разблокировки. Если подходит, то переходим сразу к лечению.
2. Итак, наиболее частый вариант – ни чего не помогает. Тут-то нам и пригодится Live CD. Как с ним работать расписано у выбранного вами производителя. Если у нас под рукой не оказалось лечащего диска, то начинаем пробовать лечить самостоятельно.

Удаление и лечение trojan winlock

Перезагружаем компьютер, и нажимаем кнопку F8. В появившемся меню выбираем «Безопасный режим с поддержкой командной строки»

1. В консоли вводим regedit и у нас откроется редактор реестра. В нём находим ветку HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon и параметр Shell

2. Нажимаем на нём правой кнопкой мыши и выбираем пункт изменить. В высветившемся окне находим имя файла (чаще всего это бессмысленный набор чисел, чисел и букв с расширением.exe или.dll) и копируем его.

(TROJ_VB.ACD, TR/Dropper.Gen, Trojan.Win32.Sovest.m, BehavesLike:Win32.Malware, Trojan:Win32/Sisproc, Trojan.Agent.JF, KillApp.L, Parser error, Trojan.VB.NID, Generic.cd, Trojan.Win32.Sovest.v, Generic.dx, BackDoor.Generic2.IIE, Trojan:Win32/Bumat!rts, VirTool:Win32/Obfuscator.M, Trojan.Win32.VB.bav, Trojan.Win32.Sovest.g, Backdoor.Pcclient.HR, Trojan Horse, Trojan:Win32/Provis!rts, Generic.BPD, TROJ_AGENT.WPQ, Trojan.Win32.Sovest.k, TROJ_AGENT.ABW, Trojan.Agent.VB.AQG)

Добавлен в вирусную базу Dr.Web: 2005-09-20

Описание добавлено: 2006-01-31

Тип вируса : Троянская программа

Уязвимые ОС : Win NT-based

Размер : 119 296 байт

Упакован : -

Техническая информация

Информация по восстановлению системы

Необходимо обратиться в Службу технической поддержки "Доктор Веб" для получения инструкций по восстановлению работоспособности системы.

Windows macOS Linux Android

1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
   • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
   • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт

Жулики шагают в ногу со временем, и все современные новшества становятся эффективным оружием в их лапах. Миллионы россиян уже стали жертвами компьютерного вируса Троян Winlock 8854 . Сюжет практически один, компьютер внезапно зависает, на экране всплывает картинка: "Внимание! Компьютер заражен вирусом, а дальше алгоритм к действию". Как убрать Троян Winlock 6999 и всё восстановить к прежнему виду? Всего лишь надо выслать sms на номер, стоимость такого смс составляет от 500 до 2500 рублей или пополнить на такую же сумму номер абонента МТС или Билайн!

Заражение вирусом семейства Trojan Winlock 8004, 3300, 2868, 6049, 7443 и других, после чего заблокирован windows trojan winlock 8811, дело рук жуликов. Вы можете оказаться пленником мошенников, если заплатите за смс, пополните номер, счет. Либо на помощь вызывайте компьютерного мастера на дом , так как в зоне риска все пользователи у кого есть интернет. Хватит даже того, что вы скачиваете мультфильм или видео игру, из ненадёжного источника и, здравствуйте, Trojan Winlock 3333 уже у Вас на ПК.

Справится с баннером Winlock простой перезагрузкой операционной системы компьютера практически невозможно. План аферистов прост, хочешь, не хочешь, а, не разобравшись как удалить Winlock, смс или деньги пошлешь. Не вздумайте этого делать ни в коем случае. Отослав сообщение, вы практически передаете жуликам свой номер телефона, и они от вас не отвяжутся. Когда вы отправляете свой номер и код подтверждения, предоставленный на сайте, тут же жулики получают авторизацию у оператора сотовой связи и, в принципе, могут списывать средства с вашего номера еще ни один раз! Только не отчаивайтесь! Как и со всеми вирусами Trojan Winlock 7285 можно удалить с компьютера.

Как удалить Trojan Winlock 8811

Разблокировка Trojan Winlock через реестр

Если загрузка через безопасный режим у нас не получается, то для доступа к операционной системе понадобится загрузочный диск. Загружаемся с любого загрузочного CD. После чего необходимо зайти в реестр, для его редактирования, так как троян Винлок зачастую прописываются именно там. Для тех, кто не знает, как туда попасть, зажимаем на клавиатуре кнопки и прописываем команду . Вам необходимо попасть в раздел реестра:

Исправляем тут параметры: Shell на [explorer.exe, ], параметр Userinit на [C:WINDOWS\SYSTEM32\userinit.exe, ]. Обязательно помним про запятую в конце строки. Вуаля, троян Winlock обезврежен. Теперь загружаемся как обычно и довольствуемся своей работой!

Как разблокировать trojan winlock 8811 с помощью утилиты KasperskyRescuDisk10, записанную на загрузочную флешку

Для чего нужно записывать KasperskyRescuDisk10 на флешку. Дело в том, что компьютер, который заражен баннером Winlock, загрузить в обычном режиме не получится. Поэтому придется доверится флешке и лечить компьютер с нее.

Первый этап. Записываем ISO-образ KasperskyRescueDisk10 на USB носитель с помощью запуска утилиты rescue2usb.exe

Для разблокировки Windows Trojan Winlock 6198 нам понадобится утилита KasperskyRescueDisk10. Заходим на сайт Касперского по url http://www.kaspersky.ru/support/viruses/rescuedisk/all?qid=208642325. И находим строчки «Скачайте образ KasperskyRescue Disk10».

Здесь нам нужно скачать два файла: ISO-образ KasperskyRescueDisk10 и утилиту для записи этого образа на USB, то есть на флешку. Можно, конечно, записать на компакт диск, но все-таки с флешкой намного проще работать. Нажимаем на файлы и скачиваем их – это займет некоторое время. Прежде чем записать образ на флешку, ее нужно отформатировать. Нужно иметь в виду, что все важные данные, которые есть на флешке будут удалены. Как только все скачали на компьютер. Нужно запустить утилиту rescue2usb.exe, чтобы записать образ kav_rescue_10.iso.

Сначала запускаем утилиту и нажимаем на кнопку . В окне утилиты автоматически определяется нужный носитель и остается только задать путь к образу. Для этого нажимаем на кнопку [Обзор]…и подкрепляем файл с образом. Нажимает [Открыть] и кнопку [Старт]. Пошел процесс записи. Итак, как только утилита завершила свою работу Rescue Disk успешно записан нажимаем [ОК] и закрываем окно.

Второй этап. Настройка загрузки компьютера с флешки

У неопытных пользователей могут возникнуть сложности из-за незнания как загружаться с других устройств. Для этого необходимо настроить BIOS Setup.

Чтобы зайти в настройки BIOS в момент включения компьютера нажимайте или . Здесь нам требуется настроить ПК на загрузку с установочного диска. Для новигации по разделам используйте стрелочные клавиши. Переходим в раздел . В разделе Boot нужно настроить приоритет загрузочных устройств. Для этого выберите раздел и нажмите .

В выбранном разделе Boot Device Priority увидите 1 загрузочное устройство, 2, 3 и т.д. Они пронумерованы. Выберите 1 загрузочное устройство и . Из под меню выберите ваш флеш носитель. Чтобы сохранить измененные параметры и выйти из настройки БИОС, перейдите в раздел выберите нажмите . Загрузочное устройство настроено.

Третий этап. Загружаем компьютер с флешки

Как только система загрузилась необходимо нажать на любую клавишу для того чтобы загрузиться именно с флешки. После нужно выбрать язык, естественно мы выбираем русский, с помощью клавиш со стрелками и подтверждаем . Теперь система начнет загружаться именно с русским интерфейсом и нужно подождать еще некоторое время. Далее должно появиться лицензионное соглашение, можете его прочитать. Как прочитаете, нажимайте клавишу для того чтобы принять условие и продолжить.

В появившемся диалоге выбираем – [Графический режим] + . Происходит загрузка. И как только запустился диск нужно разблокировать первоначально Windows. Для этого на панели задач нажимаем на первый значок в строке - это буква «К» – Меню запуска приложений. И здесь выбираем пункт [Терминал], щелкнув по нему левой кнопкой мыши.

Запускается консоль, в которой надо прописать специальную команду для запуска разблокировки, а именно команду , кликнув курсором в конце строчки. . Происходит загрузка программы и нам предлагается выбрать один из вариантов: 1 - Разблокировать Windows, 2 – Сохранить копии загрузочных секторов, 0 – Выход.

Так как нам нужна разблокировка Windows trojan winlock, вводим . и происходит обработка реестра. Программа должна выдать, что несколько операций произведены успешно, реестр исправлен. Поэтому нам нужно выйти нажимаем + , либо просто закрываем окно. Как с этим этапом справились нужно провести проверку на компьютерные вирусы .

Для того чтобы окончательно удалить троян Винлок из операционной системы. Прежде всего, нужно обновиться. Поэтому в окошке KasperskyRescue Disk10 заходим во вкладку [Обновление] и нажимаем на кнопку [Выполнить обновление], как правило, программа автоматически определяет соединение с интернетом и производит обновление. Этот процесс занимает определенное время. Как только антивирусные базы обновились, и статус баз поменялся на Актуальны. Запускаем проверку антивирусом Касперский .

Переходим на вкладку [Проверка объектов] и нажимаем на кнопку [Выполнить проверку объектов]. При обнаружении вирусов семейства trojan winlock 6426, 9260, 2741, 8615 и других программа сама предложит, что с ними сделать: лечить, удалить, перенести в карантин и т.д. Как правило, вирусы такие не излечимы, и их только удалять.

ЗДЕСЬ САМОЕ ВАЖНОЕ: вы все делаете на свой страх и риск, так как у вас могут быть заражены какие-либо файлы, документы и естественно придется их удалять в любом случае, если они не излечимы.

Разблокировка Trojan Winlock Касперский и Доктор Веб

Чтобы найти trojan winlock 8811 код разблокировки воспользуйтесь на не зараженном компьютере бесплатными сервисами антивирусов Dr.Web Winlock и Касперский, по определению кодов разблокировки для вируса Троян Winlock. После того как определите коды разблокировки, введите их все! Если хоть один код подойдет, вы можете себя похвалить с удачным завершением операции. Данный способ не всегда является эффективным для лечения вируса троян Винлок.

Помните для того что бы избежать этих проблем, на вашем компьютере должен быть установлен и правильно настроен один из этих антивирусов .

Если все выше перечисленные способы по удалению вируса вам не помогли, звоните в наш компьютерный сервис мы вам обязательно поможем!

Винлокер (Trojan.Winlock) - это вредоносная программа, цель которой заблокировать или затруднить работу с компьютером. Ее используют злоумышленники для получения вознаграждения за разблокирование. По сути это программа-вымогатель (смс-вымогатель). Блокирование операционной системы обычно осуществляется при помощи баннера, занимающего практически весь экран, и который невозможно убрать.

Самое обидное в подобных ситуациях, что те, кто решают заплатить за разблокирование, не получают код. В итоге теряются деньги на выполнение требований вымогателей, а затем на оплату услуг сервисных центров для восстановления работоспособности компьютера.

Разновидности винлокеров

Начало подобным вирусам было положено в 2007 году, а уже в 2009-2010 годах миллионы в основном русскоязычных пользователей столкнулись с проблемой заблокированных операционных систем. С тех пор этот метод заработка киберпреступников стал очень популярным. Поэтому они систематически создают и размещают в сети все новые разновидности локеров. Создать вирус можно за считаные минуты при помощи специальной программы, даже не имея навыков программирования.

Суть программ-вымогателей остается неизменной - потребовать от пользователя деньги за разблокирование компьютера. При этом используются разные методы:

• пополнить счет мобильного телефона;
• послать платное СМС-сообщение на короткий номер;
• пополнить счет страницы социальной сети;
• перевести деньги через терминал экспресс-оплаты.

Воздействие вируса на операционную систему бывает разного характера. Легче всего удалить баннер, который появляется только в окне браузера. Другие виды закрывают почти весь рабочий стол даже после закрытия браузера, но при этом позволяют открывать другие программы, с помощью которых вирусы можно удалить (диспетчер задач, редактор реестра). Более опасные винлокеры, баннеры которых закрывают весь рабочий стол, блокируют клавиатуру, мышь, запуск программ и даже загрузку в безопасном режиме.

В зависимости от принципа действия подобные вирусы имеют разные названия:

• винлокеры;
• мбрлокеры;
• локеры с методами социальной инженерии.

Некоторые из них не выявляются даже антивирусными программами.

Принцип действия винлокеров

Принцип действия винлокера или Trojan.Winlock заключается в том, чтобы нарушить работу Windows путем подмены оболочки операционной системы. Интерфейс окна, которое блокирует рабочий стол, аналогичен окну активации Windows XP. Но при этом появляется сообщение об использовании нелицензионной версии операционной системы. Код активации можно получить путем отправки СМС-сообщения на короткий номер, в результате чего со счета мобильного телефона снимается определенная сумма.

Развитие программ-вымогателей

С первыми модификациями винлокеров справиться было довольно просто. Нужно было загрузить систему в безопасном режиме и воспользоваться встроенной утилитой восстановления системы. Или же удалить процесс вируса в Диспетчере задач и изменить значение оболочки в системном реестре по умолчанию.

На начальном этапе развития программы-вымогатели требовали небольшие суммы за разблокировку, и рассчитывались на то, что пользователю проще заплатить 10 рублей, чем бороться с вирусом. В некоторых случаях не нужно было прилагать никаких усилий. Достаточно было оставить включенным компьютер на некоторое время, и вредоносная программа самоуничтожалась. Например, для избавления от Trojan.Winlock 19 необходимо подождать 2 часа.

Со временем благодаря усилиям создателей программ-вымогателей излечение компьютера становилось все сложнее. Блокировались запуск диспетчера задач, утилиты восстановления системы, редактора реестра, панели управления, антивирусов, командной строки. Стало невозможным открывать сайты некоторых антивирусных программ. Да и суммы, которые вымогались за восстановление работоспособности Windows, исчислялись уже сотнями или тысячами рублей.

Многие пользователи выполняли требования винлокеров из-за угроз, содержавшихся на большинстве баннеров. В сообщении предупреждалось, что невыполнение условий повлечет за собой повреждение компьютера или данных. В некоторых программах использовался психологический ход, запускавший таймер обратного отсчета. Но в большинстве случаев это была просто угроза.

Интерфейс Trojan.Winlock бывает самый разнообразный. Но чаще всего окна вируса идентичны стандартным Windows. Нередко используются порнографические фото- и видеоматериалы. Можно встретить окно приветствия Windows либо так называемый синий экран смерти. В некоторых программах-вымогателях используется интерфейс схожий на антивирус.

Механизм заражения

Методы распространения винлокеров довольно разнообразны. Но в большинстве случаев заражение происходит следующими путями:

• через браузер во время загрузки инфицированных сайтов;
• через установочный файл какой-либо программы;
• через самораспаковывающиеся архивы.

Мбрлокеры

С разработкой эффективных методов лечения и профилактики операционных систем были созданы более опасные разновидности программ-вымогателей. Их действие основано на внесение изменений в Master Boot Record - главную загрузочную запись, из-за чего блокируется загрузка операционной системы. Вместо этого появляется сообщение с требованием пополнить счет указанного мобильного телефона. В отличие от винлокеров мбрлокеры представляют большую опасность за счет того, что запускаются до загрузки Windows.

Заражение Trojan.MBRlock обычно происходит путем скачивания инфицированного файла, например, под видом видеоролика. После обнаружения вируса иногда не нужно предпринимать каких-либо действий, так как через несколько дней происходит самостоятельная деактивация. Но этот вариант не актуален для тех, кто не может отложить использование компьютера на длительное время.

Методы социальной инженерии

Действие винлокеров или мбрлокеров с использованием социальной инженерии основано на психологии человека, на его слабостях. В сообщениях баннеров, блокирующих операционную систему содержаться обвинения, которые побуждают пользователя без сопротивления расстаться с деньгами. Например, некоторые из них предупреждают о просмотре порнографии, и за разблокирование требуют пополнить мобильный телефон.

Многие из тех, кто действительно просматривал подобные материалы, опасаясь огласки, выполняют указанные требования. Но при этом нужно учесть, что пополнение счета либо отправка платного SMS-сообщения не гарантирует получение кода. Иногда под авторством сообщения баннера подписаны известные компании, включая Microsoft.

Этот фактор в сочетании с предупреждением об использовании нелицензионной копии операционной системы и угрозой уничтожения данных также убеждает пользователя в необходимости незамедлительной отправки SMS. Подробнее о методах социальной инженерии мы рассказывали статье.

Что делать если компьютер заблокирован, способы разблокировки

Вместо того чтобы решать проблемы, созданные программой-вымогателем, лучше принять во внимание несколько советов, помогающих избежать заражения:

1. Установка качественного антивирусного продукта. Так как новые винлокеры появляются довольно часто, необходимо следить за регулярным обновлением антивирусных баз.
2. При скачивании файлов обращать внимание на их тип. Например, аудио и видеофайлы не должны быть с расширением.exe.
3. После загрузки файла проверять его на вирусы.

Если все же заражение произошло и компьютер заблокирован, не следует идти на поводу у вымогателей. Вероятность разблокировки таким способом практически равна нулю. Не впадайте в панику от предупреждения об уничтожении данных через определенное время, так как в большинстве своем винлокеры не имеют такого механизма. Радикальным способом восстановления работоспособности системы является переустановка Windows. Однако не многие захотят пользоваться им при каждом заражении.

Более простой способ - это подбор кода при помощи сервисов разблокировки, созданных разработчиками антивирусов. Наиболее популярные и эффективные из них - от компании Dr.Web, Eset и Kaspersky Deblocker.Во избежание повторной блокировки необходимо просканировать систему установленным антивирусом. Если же при помощи сервисов подбора кода не удалось устранить проблему, можно воспользоваться утилитами для аварийного восстановления от Kaspersky Lab либо Dr.Web (LiveCD, LiveUSB).

В случае когда запуск системы невозможен из-за повреждения загрузчика Windows, реестра либо системных файлов используйте консоль восстановления. Этот процесс происходит при помощи загрузочного диска с операционной системой и команды fixmbr.

Несмотря на регулярное появление новых вирусов, таких как винлокеры и мбрлокеры, избавиться от них возможно, используя антивирусное обеспечение, в котором для этого есть необходимые инструменты. Но следует помнить, что лучший способ избежать проблем из-за блокирования системы - это профилактика. Будьте осторожны на просторах интернета, придерживайтесь наших простых советов и эта проблема обойдет вас стороной.

Winlocker - разновидность вредоносного программного обеспечения, которая блокирует операционную систему пользователя. Естественно, если на компьютер попал этот вирус, он сразу же начинает творить свои дела. Например, после заражения он автоматически прописывает себя в автозагрузке системы, а это значит, что он автоматически запускается вместе с персональным компьютером. После запуска Winlocker ограничивает пользователя буквально во всех действиях с компьютерной мышью и клавиатурой. При этом еще и просит прислать на указанный счет определенную сумму денег, после оплаты которой он якобы автоматически удалится. Разумеется, если пользователь поведется на такую уловку, никакой разблокировки системы не произойдет.

Winlocker в большинстве своем обладает расширением.exe. При этом распространяется он обычно посредством различных электронных сообщений, которые в той или иной мере интересуют пользователя. К такому сообщению прикрепляется вложение, которое может быть либо картинкой, либо видеозаписью (хотя на самом деле это тот же самый Winlocker). Для того чтобы не попасться на уловку, пользователю достаточно быть бдительным и хотя бы взглянуть на расширение того файла, который был прислан ему. Обычно изображения имеют следующее расширение - .jpg, .pmg, .gif и др. Видеозаписи, в свою очередь - .avi, .mp4, .flv и т.д. Если расширение файла не соответствует этим расширениям, скорее всего это Winlocker (расширение которого.exe).

Как удалить Winlocker?

Если на ваш персональный компьютер все-таки проникло это вредоносное ПО, сперва следует убрать его из автозагрузки, а уже затем, полностью удалить с ПК. Во-первых, прежде чем приступать к удалению, следует проверить какие функции Winlocker заблокировал. Для этого следует нажать комбинацию горячих клавиш Ctrl + Alt + Delete. Если эти действия ничего не дали, тогда попробуйте запустить программу «Выполнить» с помощью комбинации Win + R и вписать команду regedit.

Стоит отметить, что в большинстве случаев ни одна из этих команд не работает. Тогда следует запустить компьютер в безопасном режиме (после перезагрузки нажать кнопку F8). Далее в командной строке также прописывается команда regedit и запускается редактор реестра. Здесь следует перейти по следующим веткам: HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows / CurrentVersion / Run и HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Run. В этих ветках требуется удалить незнакомые вам программы: hkcmd.exe, igfxtray.exe, igfxpers.exe. Дальше нужно найти параметры Shell и UserInit, в значении которых должно быть прописано explorer.exe и путь к файлу userinit.exe (C:/Windows/system32/ userinit.exe), соответственно.

Обычно вместо одного из этих параметров прописывается путь к вредоносному файлу. Его требуется запомнить, а после того как верные значения будут введены, перейти по этому пути, найти файл и удалить.