Вирус блокирует Windows. Вирус блокирует компьютер. Вирус «Trojan.Winlock» Удаляем вирус, с помощью ERD Commander!

Добрый вечер, дорогие читатели, сегодня испробовал еще один метод по удалению вируса «Trojan.Winlock.3300», который блокирует Windows, просит отправить деньги на счета интернет-мошенников и не дает загрузится в безопасном режиме.

Если при загрузке в «Безопасном режиме с поддержкой командной строки» или же без нее, все равно Ваш компьютер заблокирован, и появляется такой баннер, значит без загрузочных дисков, нам не обойтись, в данной статье я расскажу как решить проблему с вирусом вымогателем «Trojan.Winlock.3300», с помощью образа диска «ERD Commander»

В данном способе воспользуемся образом диска «ERD Commander»

  1. Скачать образ диска «ERDC.iso» можно здесь (нажимаем, сюда: LetitBit.net) или (нажимаем, сюда: DepositFiles.com)
  2. Образ записываем на CD.
  3. Если у вас нет возможности воспользоваться «CD-Rom-ом», делаем загрузочную флешку с ERD Comander (нажимаем, сюда)

Начало — Удаление баннера компьютер заблокирован!

virus

Далее нам необходимо загрузиться с образа. В загрузочном меню выбираем необходимую нам версию операционной системы «WIndows XP» или же «Windows 7», «Windows Vista». Далее наблюдаем окно с запросом, к какой Операционной Системе будем подключатся. Если у вас «Windows XP», выбираем путь к своей папке «windows» и нажимаем «ОК».

Баннер блокирует Windows. Удаление вируса Trojan.Winlock, с помощью ERD Commnader

Если же у вас «Windows 7», тогда Вам необходимо ответить на некие вопросы перед выбором пути к операционной системе.

Прежде всего ответим на следующие вопросы:

  • Инициализировать подключение к сети в фоновом режиме? отвечаем «Нет»
  • Переназначить буквы дисков таким образом, чтобы они соответствовали буквам дисков целевой операционной системы? Даем ответ «Да»

Далее выбираете раскладку клавиатуры. После чего выбираем путь к Операционной Системе и нажимаем «Далее»

Баннер блокирует Windows. Удаление вируса Trojan.Winlock, с помощью ERD Commnader

Продолжение — Удаление баннера, если ваш компьютер заблокирован

Во втором шаге нам понадобится редактор реестра, чтобы убрать все записи баннера из реестра нашей операционной системы Windows. Чтобы отредактировать реестр зараженного Windows выбираем меню «Start»«Administrative Tools»«Registry Editor»

Баннер блокирует Windows. Удаление вируса Trojan.Winlock, с помощью ERD Commnader

В «Windows 7» меню ERD Commander'а будет отличаться. В первом окне вам необходимо выбрать пункт меню «Microsoft Diagnostics and Recovery Toolset», для запуска средств восстановления Операционной Системы, после чего в появившемся окне, с набором инструментов выбираем «Редактор реестра ERD».

Баннер блокирует Windows. Удаление вируса Trojan.Winlock, с помощью ERD Commnader

Откроется реестр Windows, путь к которому мы выбрали в первом окне при загрузке. Это и есть реестр зараженного Windows, в которой собственно говоря и сидит наш порно баннер. Находим ветку реестра, где «сидит» баннер:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

Баннер блокирует Windows. Удаление вируса Trojan.Winlock, с помощью ERD Commnader

Проверяем три параметра в следующей ветке реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

  1. параметр «Shell» отвечает за загрузку рабочего стола Windows и должен иметь значение «Explorer.exe», прописываем полный путь к файлу «C:\Windows\explorer.exe»
  2. «UIHost» должен иметь значение «logonui.exe»
  3. «Userinit» обеспечивает вход пользователя в систему, прописываем значение
    «C:\Windows\system32\userinit.exe»

Далее проверяем ветку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Баннер блокирует Windows. Удаление вируса Trojan.Winlock, с помощью ERD Commnader

Здесь прописываются программы автозагрузки. Проверяем все программы и отключаем подозрительные, которые находятся в папках:

  1. «C:\temp»;
  2. «C:\Windows\Temp»;
  3. «C:\Documents and Settings\%username%\Local Settings\Temp»;
  4. «C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files».

%username% — это имя вашей учетной записи.

Также бывают и такие случаи, когда баннер может прописать себя в ключе реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows_NT\CurrentVersion\Windows\AppInit_DLLs

Значение такого ключа должно быть либо пустым, либо там прописывается антивирус.

Баннер блокирует Windows. Удаление вируса Trojan.Winlock, с помощью ERD Commnader

Если же у вас в этой ветке прописан какой-то другой файл, скорее всего это вирус. Чтобы удалить это значение из параметра реестра щелкаете мышкой два раза на ключ «AppInit_DLLs» и стираете прописанный путь, оставляете поле значения пустым, и нажимаете «ОК»

Следующее, что мы делаем, это смотрим ветку реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Здесь происходить запуск программ под отладчиком. В который также может прописаться вирус, как отладчик для какого либо системного файла в операционной системе, например «userinit.exe» или же «explorer.exe». В результате чего вместо запуска программы, получаем запуск вируса.

В левой колонке редактора реестра смотрим, нет ли там разделов «explorer.exe», «iexplorer.exe», «userinit.exe» (В данной ветке не должно быть ни одного такого раздела). Если есть такой раздел, выделяете его мышкой и в правой части окошка смотрим путь к вирусу. После того как почистили реестр, в проводнике удаляете эти файлы, если не находите в проводнике, попробуйте найти через поиск.  Теперь правой кнопкой мыши нажимаем на раздел в левой части окна «userinit.exe» (к примеру) и нажимаем «Удалить».

Обязательно проверяем еще такие ветки реестра, как:

  1. HKEY_USERS\%username%\Software\Microsoft\Windows_NT\CurrentVersion\Winlogon
  2. HKEY_USERS\%username%\Software\Microsoft\Windows\CurrentVersion\Run

где %username% — имя учетной записи Windows.

После проверки, правки всех веток реестра или удаления неправильных записей, редактор реестра необходимо закрыть.

Удаление порно баннера, требующего пополнить счет

Первым делом проверяем автозагрузку нашего блокированного вирусом Windows. Для этого нам необходимо запустить инструмент Управление компьютером через меню: «Start»«Administrative Tools»«Autoruns» для Windows XP или «Управление компьютером» для Windows 7.

Баннер блокирует Windows. Удаление вируса Trojan.Winlock, с помощью ERD Commnader

Ветка «System» показывает элементы автозагрузки для нашей Операционной Системы, для всех учетных записей «HKEY_Local_Machine»

Баннер блокирует Windows. Удаление вируса Trojan.Winlock, с помощью ERD Commnader

Как мы видим файл «userinit.exe» заражен вирусом. Определить это можно по дате, по компании-разработчику (Company), и по (Description) описанию файла.

Как мы уже знаем, файл «userinit.exe» отвечает за вход пользователя в операционную систему и грузиться сразу после выбора учетной записи, тем самым вирус появляется до загрузки командной строки и блокирует Windows в безопасном режиме.

Удаляем зараженный файл «C:\Windows\System32\userinit.exe» и заменяем его оригинальным файлом, также смотрим еще один файл «C:\windows\system32\taskmgr.exe», так как новые версии вирусов могут подменить и его, после чего при запуске диспетчера задач, снова появляется вирусный баннер.

Далее заменяем эти два файла оригинальными (удаляем и восстанавливаем с диска). Проделываем все тоже самое в папке «C:\windows\system32\dllcache». Для того чтобы узнать как восстановить удаленные или поврежденные файлы в Windows, переходим по ссылочки (нажимаем, сюда).

После исправления в реестре нужно проверить системный диск Вашего ПК, антивирусной программой, желательно в безопасном режиме. Качаем одноразовый антивирус «DrWebCureit» (нажимаем, сюда) с официального сервера, желательно на флешку, далее запускаем «DrWebCureit» и проверяем системный диск в «Безопасном Режиме!»

Вот и Все! После проверки перезагружаем компьютер и наслаждаемся работой компьютера.

Похожие заметки
Последние заметки
Если вам понравилась статья, вы можете подписаться на RSS или e-mail рассылку. Для получения обновлений по электронной почте, введите ваш e-mail адрес в эту форму (доставка от SmartResponder):

54 комментария

  1. Евгений Москаленко,
    1

    Данный способ на сегодняшний день лечить практически от всех вирусов-вымогателей, баннеров!

  2. BlogAdmin,
    2

    Отличный обзор методов борьбы с Trojan.Winlock. Сам ловил разновидности два раза. DrWeb только недавно научился распознавать эти вирусы. В моем случае DrWebCureit не помог. Убил только бесплатной утилитой от malwarebytes.org. К стати вычищает успешно все malware, которых не видит мой лицензионный антивирус. Диски скачал, спасибо!

  3. Deathstar,
    3

    грузишь винду в безопасном режими, делаешь откат на 1 день. и вооля. не надо ничего придумывать, куда то лазить что-то скачивать. всё элементарно.

  4. Евгений Москаленко,
    4

    Согласен, если винда делает эти резервные копии, и как показала практика, после того как ловишь эти вирусы, даже в безопасный режим войти нет возможности, поэтому такой вариант к сожалению не катит. :(

  5. hum,
    5

    ERD Commander на Win 7 x64 катит? Или только на x86?

  6. Евгений Москаленко,
    6

    Если память не изменяет, то должен подойти!)

  7. Юрий,
    7

    Не всё так просто, как Вы пишите. Я столкнулся с таким вирусом. Он грузится до старта операционки. Все программы, которые мне знакомы (ВООТ), не видят винт — вот это проблемма. Распознаёт жёсткий диск только установочный диск Windows, можно провести восстановление системы, если знаеш какая винда была установленна. В моём случае и это не помогло. Простейший выход — переустановить винду (если не нужно спасать данные с системного диска).

  8. Елена,
    8

    Спасибо за материл, очень помогли.

  9. dj—alex,
    9

    годный способ, но самая лучшая профилактика — это Ubuntu Linux

    просто не будет ни одного ни вируса, ни антивируса и комп быстрее работать будет.

  10. У меня две системы стоит на крайний случай, Windows XP и Ubuntu Linux. Да и вдруг что, удобней все переносить с битой винды, проверить работоспособность интернета!)

  11. Alex,
    11

    Должно быть существуют различные версии этого вируса. Так, в моем случае оказалось достаточно убийства подозрительных процессов с помощью диспетчера до того,как эти процессы начали свою вредоносную активность. А далее лишь отключение автозагрузки их с помощью msconfig.

  12. Значит не совсем то поймали о чем идет речь, так как данный вирус не оставляет надежды и время на какие либо действия и даже уже горячие клавиши не работают. Если раньше можно было быстренько запустить текстовый документ, начать редактировать и быстро закрыть его не подтверждая редактирование и отмену, то ПК не выключался, пока не завершится процесс. А с этим трояном гасится все!

  13. Cube,
    13

    Спасибо большое, помогло в первый раз.

    Но вот сейчас поймал еще раз, и уже не спасает.

    Снес бы винду, но инфа целая, подскажите чем еще можно воспользоваться?

  14. Если уже совсем ничего не помогает, попробуйте через Лайв-Сиди слить все необходимые данные и снести винду!

    Или как вариант попробуйте:

    1. evgmoskalenko.com/virusy/...uet-windows.html

    2. evgmoskalenko.com/virusy/... -trojan-awl.html

  15. саня,
    15

    на 7-ке при загруке берем del...........потом введение дополнительных параметров........востоновление системи...чем познее.......и всё гуд

  16. Ох... Если бы, все так было просто!) Не всегда такие танцы помогают...

  17. hum,
    17

    Повторюсь еще и в этой теме: Пробовал програмный пакетStop SMS Live CD («SS» 32) v.2.6.15 и AntiSMS 2.3.0 который собствен­но включен в вышеупомянутый пакет. Четко. 10 минут и система работает.

  18. doooooo,
    18

    ничего не могу сделать!!!!(((((((( скачал вашу прогу ЕРД на флешку все по инструкции... но когда вставляю в ноут после загрузки флеши эта програма прост нажать ентер или пробел...........и все сново таже картина...черный экран с красним требованием...((((( что делать??????

  19. Евгений Москаленко,
    19

    Какой красный экран? По идеи его не должно быть, что на нем написано?

  20. Danila,
    20

    Добрый день!!! Помогите пожалуйста с решением проблемы. При загрузке ХР вместо рабочего стола появляется сообщение на весь экран (своего не вижу вообще) с угрозами и мольбами дать им денег. Перепробовал практически все методы и способы (не пробовал только жарить блинчики на своём ноуте), ничего мне не помогло. Ни один загрузочный диск не видит жёсткого диска. Его как бы нет совсем. В БИОСЕ я его физически вижу. Винт рабочий 100%!!! Далее при установке новой операционки выпадает сообщение о том, что установка невозможна по причине отсутствия жёсткого диска. На другом компе помог только один вариант установки новой ОС. АКРОНИСОМ удалил все разделы. Лишь только после такой очистки получается залить систему. Но при этом раскладе удаляется вся инфа с винта. Меня это не устраивает. Подскажите пожалуйста, что можно сделать ещё? Уверен, что я не один с такой бедой. Подбор кодов и прочее — это пустая трата времени. Спасибо!!!

  21. Евгений Москаленко,
    21

    Вы все эти методы пробовали? Вот эти к примеру?

    evgmoskalenko.com/virusy/... -trojan-awl.html

    evgmoskalenko.com/virusy/...uet-windows.html

    У Вас может быть на ноуте САТА винты, тогда нужно во все лайфсиди и сборки подгружать необходимый драйвер, попробуйте вот эту сборочку — evgmoskalenko.com/soft/alkid-livecd.html

  22. Danila,
    22

    ух ты... спасибо за молниеносный ответ))) драйвера для САТА я подкидывал, а вот по первым двум ссылкам я не гулял. Буду пробовать. Ещё раз большое спасибо!!! Отпишусь про свои результаты

  23. Евгений Москаленко,
    23

    Да не за что) Всегда стараюсь сразу отвечать!) Если будут какие-то проблемы, читайте еще комментарии, там как правило делают ошибки и в комментариях уже как бы идет дополнение) Может Вам все способы и не пригодятся) Удачи!)

    Кстати советую делать еще после первой установки Виндовс с установленными уже необходимыми программами и драйверами Ghost-овскую копию. Ее потом в любое время можно откатить) Вот ссылочка — evgmoskalenko.com/os/ghost-image.html

  24. Danila,
    24

    образ я делаю, но не Ghost-ом, а Acronis-ом. Просто у этой проги (не во всех версиях) есть функция восстановления системы по сети, а мне именно это и нужно. За всё время использования (примерное пару лет) глюков не было ни разу. Хотя меня убеждали в обратном. Ghost-ом пользовался раньше. Спасибо!!!

  25. Евгений Москаленко,
    25

    Тоже не плохо) главное их хоть чем-то делать, а не винду переустонавливать) Успехов!)

  26. Danila,
    26

    Спасибо большое!!! Всё получилось. Но только после того, как почистил реестр руками. Всё просто. Основная сложность оказалась для меня в вызове менеджера задач тройным нажатием кнопок и в то время когда мигало окно успел всё таки снять задачу. И заставка пропала. Дальше чистка реестра по веткам, которые Вы указали. Вот и всё. Ещё раз спасибо за Ваш труд!!! Удачи и процветания!

  27. Евгений Москаленко,
    27

    Спасибо, и Вам успехов)

  28. Радиша,
    28

    Боже мой, спасибо ВАм огромное! Так помогли!Что бы я делала без вашей статьи с этим гадким вирусом? Зато теперь нам не страшен серый волк. Справлюсь с любым трояном:)

  29. Евгений Москаленко,
    29

    Ну что, рад, что помог Вам!) Всегда хорошо, когда кому-то хорошо. Успехов Вам, заходите к нам почаще.)

  30. Тарас,
    30

    Спасибо, очень нужный сайт!!!! надеюсь поможет завтра убрать этот вирус!

  31. Роман,
    31

    поймал сегодня выше указанный вирус... ничего не смог сделать (да и при том, что я хороший пользователь офисных программ, но ни как не «типа хакер»...)

    мучался, звонил друзьям... в итоге переустанавливаю винду... (((

    теперь жду результат)))

  32. Евгений Москаленко,
    32

    А что пробовали уже сделать, какие методы? Только на этой статье были?

    Вот тут — evgmoskalenko.com/virusy/...uet-windows.html

    или тут — evgmoskalenko.com/virusy/... -trojan-awl.html, были?

  33. Micha,
    33

    как мне этот файл скачать по другому, что то не получается скачать антибот не дает.

  34. Евгений Москаленко,
    34

    Что за антибот? Отключите антибота и попробуйте скачать!)

  35. Петрович,
    35

    Имхо, хуже винлокера трудно придумать вирус! В свое время тоже пришлось с ним столкнуться... Помогла эта статья Но вашу тоже я обязательно приму к сведению, очень уж она оказалась полезной!

  36. hum,
    36

    Мда. Самореклама — двигатель торговли )))

  37. Евгений Москаленко,
    37

    Ага!!! Что-то я погорячился, когда пропустил этот комментарий и автора-спамера в статье!) Уже спать ложился и как-то не проверил рекламный ресурс. Малоли, может кто-то из России подтянется, прочтет все комментарии и купит услуги у Петровича. :)

    Хотя я в этом очень сомневаюсь. Ему надо бы зарегистрироваться в бирже и купить рекламный баннер на блоге, со своими услугами!)

  38. hum,
    38

    Точно. ПР и ТИЦ неплохой ))

  39. Евгений Москаленко,
    39

    Да и комментарий уникальный получился!) В общем мне не жалко, пусть висит коммент и ссылочка. От меня не убудет. :-)

  40. hum,
    40

    Главное шоб ссылочка не на вышеупомянутый баннер вела ;-D

  41. Евгений Москаленко,
    41

    Это точно!)

  42. -LeNa-,
    42

    Поймала такой вирус, еще и на мамен ноутбук(((( Что делать теперь не знаю... Сижу с айфона ищу способы борьбы с такой ерундой... Мама как увидит банер- порнопросиотры... Не поверит что я не смотрю такие фильмы... Что делать то?!!!

  43. Евгений Москаленко,
    43

    Лена, проделайте все эти действия и будет все хорошо!)

  44. hum,
    44

    Позавчера два разных банера завалил все тем же Антисмсом. В обязательном порядке, после даной операции: очистка всех временных папок, очистка cookies, очистка истории браузера, очистка кэша браузера

    Все операции желательно производить при отключенном интернете. Все очистки историй, куков,темпов желательно делать вручную через скрытую папку Aplicatioin data, в которой находятся настройки программ.

  45. premium,
    45

    Добрый день, у меня в окошке «Параметры восстановления системы» не могу выбрать операционную систему! Стоит семерка.

  46. Евгений Москаленко,
    46

    Может что-то с клавиатурой? Или битый диск.

  47. Pasha,
    47

    При запуске компьютера образуется окно «Анализатор сообщения» а в нем «Создание значение терпело угрозу в линии 61» и нажатие Ок, после длительного нажатия ок высвечивается введите логин и пароль, рядом либо ок либо завершение работы но при нажатии ок запускается компьютер, а чтобы выключить нужно перезагрузить и сделать все тоже только вместо ок завершить работу. Помогите пожалуйста как снять эту блокировку?

  48. Евгений Москаленко,
    48

    Никогда с таким не сталкивался, попробуй зайти на компьютер, проверить все антивирусником и проверить диски на наличие ошибок!

  49. Алекс,
    49

    Большое спасибо, удалил вирус из реестра,который блокировал винду, просил перечислить деньги на киви, антивирусники не смогли устранить

  50. Igor,
    50

    Вирус блокирует загрузку ОС.Войти в безопасный режим загрузки не дает.Я отформатировал системный диск и установил новую windows 7.Перегрузил компьютер:

    опять этот баннер-заплатите деньги на вебмани.Подлючил второй жесткий диск со стоящей там еще одной Windows 7.При выборе, откуда будет идти загрузка, указал второй винт.Винда загрузилась.Винт с вирусом виден,видна и новая винда на нем.Выключаю комп,отключаю второй жесткий диск,перегружаюсь.Опять баннер.Что делать?

  51. анисия,
    51

    мне очень помогло

  52. владимир,
    52

    Здравствуйте! У меня вирус, он не блокирует работоспособность компа, НО он заблокировал все рабочие документы очень нужные, восстановление системы и переустановка винды естественно не помагают. далли ссылку по ней переходишь они просят 200 гривен , и яко бы потом разблокирую файлы. Есть способ справится с этой фигнёй? главное даже не комп а файлы!

    stpiracy.host.sk — ссылка на их сайт по требованию денег.

    да ссылка у меня появилась в блокноте после запуска компа.

    Если есть способ подскажите пожалуйста.

  53. Евгений Москаленко,
    53

    Владимир, попробуйте все те способы, которые указаны в статье... Думаю все получиться.

  54. Auslogics,
    54

    Вирусы блокируют роботу компьютера. Вы не можете открыть папку, браузер и даже запустить антивирус.  Компьютер не отвечает на команды. Компьютерные новички испугаются и отправят деньги.

Оставить комментарий