Привет всем.
Я расскажу про Winlock который не трогает MBR.
Способ приведенный ниже работает, пользуюсь им, не встречал не одного блокиратора который не смог снять самостоятельно.
Все что ниже мое имхо, и личный опыт, на основе статей других людей и форумов.
Итак начнем с того что такое блокиратор — это программа которая средствами Windows добавляет себя в загрузки ОС. Антивирусные решения в большинстве случаев бессильны, т.к. криптографию ни кто не отменял, поведенческий анализ может и работает но я не видел. Слышал только что KAV 2012 самостоятельно избавился от вредоносной программы при обычном запуске компьютера.
Все делается довольно просто. Наша задача загрузиться с любого BOOT Девайса (USB,CD,DVD,HDD) с Winsows PE (до установочная версия), или в Linux как в Касперский Рескью Диск.
1) Первым делом определяем загрузочный диск и директорию Windows. Сразу лезем в «Windwos\Temp\» и все удаляем.
2) Удаляем все *.exe файлы в корне этого диска (C:\) чьи имена напоминают 481741312312.exe fdaf3rfdf.exe.
3) Смотрим реестр зараженной машины, я пользуюсь «EDR Commander». В «Касперский Рескью Диск» встроена хорошая программа для этих нужд, все найдет сама.
В реестре идем по пути:
HKEY_Local_MACHINE\SOFTWARE\Microsoft\Windwos NT\CurrentVersion\Winlogon
смотрим параметры Shell — должен быть explorer.exe
Userinit — C:\Windows\system32\userinit.exe, (после запятой все удаляем)
Если эти файлы были изменены (перезаписаны), то с собой носите копии для всех версий Windows. Смотрим размер, версии, дату изменения. Так же не плохо посмотреть System32\ все не подписанные файлы с новой датой изменения.
так же можно заглянуть и в:
HKEY_Local_MACHINE\SOFTWARE\Microsoft\Windwos NT\CurrentVersion\Windwos
параметр AppInit_DLLs — если у вас стоит например Касперский то тут будут его DLL, если название левые удаляйте. Это для избавления от программ блокирующих доступ к web страницам.
И еще, удаляем все лишнее с автозагрузки:
HKEY_Local_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run и RunOnce
Проверяем, лишнее удаляем. Тут он сидит редко.
Еще смотрим нашего пользователя:
HKEY_Current_User\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run и RunOnce
Чаще всего находится тут с надписями по пути Temp и случайным именем *.exe.
4) Далее, спрашиваем из под какого пользователя данной рабочей станции был получен вредоносный код (этот путь мы так же могли видеть в реестре). Затем проходим по пути: «Documents and Settings\*UserName\Local Settings\Temp\» — удаляем все что можем, что не можем пытаемся переименовать. — для Windows XP
В Windows 7 путь будет «Users(Пользователи)\UserName\Local Settings\Temp\»
И удалить подозрительные файлы с директории «Загрузки» данного пользователя.
5) Если все прошло хорошо, то компьютер должен загрузиться нормально. Теперь главное не выходя в сеть интернет открыть браузер (или все что есть) с которого прошла загрузка вредоносной программы. Удалить там всю историю просмотра, все временные файлы через стандартные настройки данного браузера.
Скачать DrWeb CureIT! и проверить машину на заражения дополнительно.
Был случай что на зараженной машине не было DVD-Rom, и при себе не оказалось CD с требуемым софтом, USB не грузились. Дело решилось след образом. Взял CD диск, с установленным Arconis и зашел на машину через него, встроенным обзором файлов удалил все из папок «Temp» и вуаля, машина грузиться нормально.
В интернете много подборок Live-CD/DVD/USB/HDD для данных нужд, берите любой на свой вкус.
На этом все.
Ваш компьютер был заражен, и вирус блокирует Windows, перед вами возникло окно, в которое необходимо ввести код для его разблокировки, получить который можно, заплатив необходимую сумму. Что же делать в данной ситуации?
Имеется несколько вариантов решения проблемы, в том случае, если вирус блокирует Windows. При этом платить деньги категорически не рекомендуется. Ведь никто не хочет платить денег для разблокировки операционной системы. Да и нет никакой гарантии, что, заплатив мошенникам, вы получите необходимый для разблокировки Windows ключ. Поэтому делимся четырьмя способами, как избавиться от вируса на компьютере самостоятельно.
Как избавиться от вируса на компьютере бесплатно
- Первый вариант – поменять дату в BIOS вашего компьютера. Для тех, кто плохо разбирается в компьютере, хотим дать подробное описание, как зайти в БИОС. На системном блоке нажмите кнопку перезагрузить. Это следует делать на включенном компьютере. Если же компьютер выключен, то его необходимо включить. Спустя несколько секунд после его включения нужно нажать и удерживать клавишу на клавиатуре DELETE. Если вам удалось войти в BIOS, то на экране высветится синий фон, на котором будет написано меню BIOS на английском (часто и на русском) языке. В меню заходим в раздел Standard CMOS Features, в котором находится поле сегодняшней даты, поменяйте её на более раннюю. После внесения изменений нажимаем Esc и оказываемся в главном меню. Для того чтобы сохранить изменения, используем Save & Exit Setup, затем «y», для подтверждения изменений. Такой вариант уберет баннер блокировки работы операционной системы, однако вирус все равно следует обнаружить и удалить.
- Второй вариант – при запуске Windows нажимаем F8 и запускаем восстановление системы. После восстановления с помощью антивирусной программы необходимо просканировать компьютер.
- Вариант третий – в строке быстрого запуска можно увидеть значок вируса. Если навести курсор, то удастся прочесть имя файла. Далее находим файл с помощью поиска, однако он так просто не удалится. Сначала его следует переименовать и лишь, потом можно удалить, не забыв после этого почистить корзину.
- Вариант четвертый – отформатировать диск, на котором находится ваша операционная система. Однако такой вариант приведет к утрате вех данных на локальном диске. Данный способ является самым радикальным в борьбе с вирусом, и использовать его следует лишь после того, как не помогли все вышеперечисленные варианты.
13 minutes ago, loppener said:
когда захожу на этот сайт, мой браузер предлагает закрыть себя каждые 10 секунд. А при запуске той программы у меня она сама закрывается
Здравствуйте,
У Вас похоже майнер который блокируют доступ к антивирусным продуктам.
Cкачайте, распакуйте и запустите AV block remover или сокращённо AVbr — это утилита, предназначенная для удаления конкретного майнера, в том числе блокирующего установку антвирусного софта и доступ на сайты AV компаний и форумов с лечением. Может применяться и в других случаях при похожих способах блокировки антивирусов.
Симптомы этого майнера: Вирус не дает возможность скачать антивирус, блокирует сайты, закрывает диспетчер задач и gpedit.msc, закрывает браузер при попытке найти или скачать cureit и др. антивирусные утилиты, «пропал» установленный антивирус.
Кстати, помимо майнинга и блокировки антивирусов этот вирус устанавливает RMS. Так что ваши данные тоже могли быть похищены.
Для использования утилиты необходимо:
Скачать утилиту и распаковать её в любое удобное для вас место.
После распаковки временно отключить антивирус (если он у вас есть), в том числе отключить Windows Defender. Если боитесь отключать антивирус, чтобы не скачало ещё больше вирусов, то дополнительно временно отключитесь от интернета.
Запустить файл AVbr.exe
В ходе работы утилиты рядом с этим файлом будет создана папка ..\AV_block_remover содержащая в том числе:
— AV_block_remove.log — лог работы утилиты.
— quarantine.zip — стандартный архив AVZ с карантином удалённых файлов.
— Backup — папка с резервной копией некоторых настроек, изменённых в ходе лечения.
Утилита удаляет сам майнер и его производные.
Снимает запреты на установку антивирусного ПО. В том числе удаляет папки от антивирусов если они пустые, а если не пустые, то восстанавливает на них стандартные права доступа.
Восстанавливает службу теневого копирования.
Если пользователь согласится, то удаляет учётную запись «John», которую создаёт майнер и которая не видна в Управлении учётными записями.
В зависимости от выбора пользователя сбрасывает к состоянию по умолчанию файл Hosts или открывает его для редактирования вручную.
Так как после утилиты всё равно могут оставаться некоторые следы от вируса, либо система может быть параллельно заражена и другим вирусом, то после лечения этой утилиты настоятельно рекомендуется создать тему в разделе лечения. Например в «Помощь в удалении вредоносного ПО» выполнив правила оформления запроса.
Утилита представляет собой оболочку со скриптом для запуска антивирусной утилиты от Олега Зайцева — AVZ. По своему принципу работы аналогична AutoLogger-у. И, точно также как и он, автоматически каждый день пересобирается на сервере.
После того как пролечитесь им соберите свежие логи по правилам.
Разберемся, как восстановить работу системы, если вирус блокирует работу антивирусной программы.
Признаки заражения компьютера
Иногда постороннее программное обеспечение не оказывает прямого разрушительного влияния, но вредит другими способами. Например, вирус майнер использует ресурсы системы в своих целях и передаёт данные через интернет.
Первые симптомы заражения, которые не стоит игнорировать, это увеличение сетевого трафика и замедление работы большинства программ или всей системы. Если это происходит, стоит насторожиться, особенно если вы не устанавливали новые программы или оборудование.
Явный «красный флаг» — визуальные изменения. Например, вы обнаруживаете, что стартовая страница вашего браузера изменилась без вашего согласия, или стали появляться всплывающие окна и сообщения, явно содержащие посторонний контент.
Уже на этом этапе стоит проверить компьютер на наличие вредоносных программ. Если вы продолжаете игнорировать подобные сигналы, то следующими признаками могут стать постоянные сообщения о серьезных ошибках и автоматическая перезагрузка компьютера.
Вишенкой на торте становится отключение антивируса, сообщение «Невозможно обновить антивирусные базы» и даже полная потеря работоспособности компьютера в нормальном режиме.
Как вредоносное программное обеспечение может мешать работе антивируса
Помимо основной своей задачи, у вредоносного ПО есть ещё одна: не дать антивирусу обнаружить себя и ликвидировать. Для этого вирус использует следующие приёмы:
- Блокировка и отключение антивирусных служб и процессов. В результате антивирус либо не запускается вообще, либо неактивен, либо его запуск завершается сообщением об ошибке.
- Блокировка сайтов антивирусов или всего интернет-соединения. В первую очередь это действие преследует цель не дать антивирусу обновить базы угроз, но в тяжёлом случае пользователь не сможет скачать даже дистрибутив. Иногда вирус подменяет адрес сайта и направляет браузер на «фальшивую» страницу».
- Блокировка файловой системы и внесение изменений в системные библиотеки антивируса. В этом случае антивирус оказывается сам инфицирован вредоносным ПО.
Если вы обнаружили себя в такой ситуации, очевидное решение — отдать компьютер в руки специалиста. Для тех же, кто не боится трудностей и готов попробовать вылечить систему самостоятельно, рассмотрим план спасения компьютера на примере операционной системы Windows 10.
Самые очевидные действия
Если антивирус установлен, но не видит существующие угрозы, можно просто остановить все, что вызывает подозрения, через Диспетчер задач, а затем обновить базы и провести лечение компьютера.
Если антивируса нет и вредоносное ПО не дает его скачать, например, вирус блокирует сайты антивирусов, то можно почистить реестр и файл hosts.
К сожалению, чаще всего эти меры не дают результатов, потому что разработчики вредоносных программ постоянно совершенствуют способы заражения. Кроме того, работа с реестром требует знания его устройства, и уронить систему в этом случае довольно легко. Поэтому рекомендуем сразу переходить к более эффективным решениям.
Лучшие способы борьбы с вредоносным ПО
Существует четыре способа «перехитрить» вредоносное программное обеспечение и прекратить его работу:
- установить или переустановить антивирус;
- запустить лечащие утилиты;
- загрузиться с помощью LiveCD;
- переустановить операционную систему.
Чтобы восстановить работу компьютера с помощью первых двух способов, нужно войти в безопасный режим Windows.
0. Вход в безопасный режим
В безопасном режиме система Windows работает с минимальным набором системных файлов и драйверов, игнорирует автозагрузку программ и использует сетевые настройки по умолчанию, тем самым изолируя вирусы на машине.
В некоторых случаях Windows загружает безопасный режим автоматически. Если этого не произошло, нужно принудительно войти в него при следующей загрузке системы.
- Вызовите утилиту msconfig через командную строку или с помощью меню «Выполнить», воспользовавшись комбинацией клавиш Windows+R.
- Перейдите на вкладку «Загрузка» и поставьте флажки, как показано на скриншоте:
- Нажмите «Ок».
- Утилита предложит немедленную перезагрузку или выход для сохранения изменений в других окнах приложений. Сохраните то, что можно сохранить и перезагружайтесь.
После перезагрузки появится экран в минимальной графической конфигурации, а на рабочем столе будет отображаться надпись «Безопасный режим».
1. Установка или переустановка антивируса
Установленный на компьютере антивирус не работает в безопасном режиме, потому что его файлы не входят в минимальный набор. Но вредоносное ПО в этом случае не блокирует установку, поэтому его можно скачать и установить или переустановить, а затем попробовать запустить в обычном режиме.
Если антивирус запускается, обновите антивирусные базы и проведите полную проверку системы.
2. Лечение с помощью утилит
Если и теперь вирус не даёт запустить лечение, нужно вновь перезагрузиться в безопасном режиме с поддержкой сети и скачать одну из бесплатных утилит для диагностики и лечения. Такие утилиты есть у всех ведущих разработчиков антивирусных программ, но в России наибольшей популярностью пользуются CureIt от компании DrWeb и KVRT от компании Касперского.
Если вы решили воспользоваться одной из лечащих утилит, помните, что создатели вирусов постоянно совершенствуют свои «творения». Даже если утилита выпущена всего неделю назад, она может пропустить более свежие разработки, поэтому качайте свежую версию с сайта разработчика. Утилиты, скачанные из посторонних источников, также не обеспечивают эффективного избавления от вирусов.
После запуска утилита создает защищенную среду и препятствует дальнейшему распространению вирусов.
Этот способ лечения весьма эффективен и удобен, но иногда компьютер инфицирован до такой степени, что даже скачивание лечащих программ недоступно или не даёт результата. В этом случае поможет следующий способ.
3. Лечение с помощью антивирусного LiveCD
Часть системных файлов может быть повреждена или блокирована вирусом. Кроме того, в некоторых случаях он может продолжать работу даже в безопасном режиме. Здесь на помощь приходит загрузочный LiveCD, который также доступен на сайтах компаний, разрабатывающих антивирусные программы.
Главное достоинство этого способа заключается в том, что LiveCD загружается автономно, создавая собственную среду выполнения программ. Помимо того, загрузочный диск автоматически подгружает актуальные антивирусные базы. Для того, чтобы воспользоваться им, нужно включить в BIOS загрузку с внешнего носителя.
Недостатки у этого способа лечения тоже есть. Первый — чтобы скачать LiveCD, придётся это делать на другом компьютере, либо у вас должен быть скачан образ и сделана загрузочная флешка заранее.
Второй — нужно уметь создавать загрузочные флешки из образа. Впрочем, сегодня загрузочные флешки — де-факто стандарт установки, так что сделать её из образа можно даже стандартными средствами Windows, не говоря уже о специализированных программах типа UltraISO.
Третий — на компьютере не получится ничего делать, пока лечение не закончится.
4. Восстановление или переустановка системы
Может оказаться, что последствия работы вредоносного ПО настолько масштабные, что даже после лечения система не сможет запуститься. В этом случае, а также когда вам проще поставить систему заново, чем лечить заражённые файлы, потребуется восстановление из резервной копии или полная переустановка системы.
Чаще всего проще переустановить систему заново, особенно если файлы данных хранятся в облаке, а прикладного ПО, которое придётся устанавливать и настраивать заново, сравнительно немного.
Кратко о том, что делать, если вирус не дает установить антивирус
- Оцените масштаб заражения, попробуйте вылечить машину с помощью установленного антивируса;
- Если вирус блокирует установку антивируса, воспользуйтесь одним из четырёх способов;
- установить или переустановить антивирус в безопасном режиме;
- запустить лечащие утилиты в безопасном режиме;
- загрузиться с помощью LiveCD;
- переустановить операционную систему.
- Если не уверены в своих силах или что-то идёт не так, обратитесь к специалисту;
- Сделайте резервную копию системы и регулярно проводите проверку на вирусы после успешного лечения;
- Не забывайте о цифровой гигиене: скачивайте программы из надёжных источников, избегайте подозрительных сайтов.
Техническое обслуживание HYPERPC
У наших специалистов есть необходимые знания и навыки, чтобы восстановить работу компьютера быстро и эффективно. Мы гарантируем, что все работы будут выполнены аккуратно и в установленные сроки. Вы можете полностью положиться на наш опыт в области обслуживания компьютеров и ноутбуков. Сервис-центр HYPERPC.
Никита Добшиков
05.07.2022
Постараюсь вам помочь. Для начала проверьте обновления в Центре обновления Windows и установите доступные. Возможно — не закрыта какая-либо уязвимость. Затем скачайте AV block remover ( ) на любой другой ПК, архив скиньте на флешку и через флешку перекиньте AVbr на заражённую машину. Можно также и с телефоном — качаете на телефон AVbr и через USB-кабель перекидываете на заражённую машину. Далее архив распакуйте на рабочий стол, отключите ПОЛНОСТЬЮ ваш антивирус (если он у вас есть), запустите и дождитесь завершения работы скрипта. Если не запускается — переименовываете. Компьютер перезагрузится автоматически. (Если предложит восстановить файл hosts — соглашайся). После перезагрузки откройте редактор реестра (просто впишите в поиск, или нажмите Win + R, введите regedit и нажмите Enter) и перейдите в нём по пути «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon», и посмотрите на ключи Userinit и Shell. В Shell должно быть написано только «explorer.exe», а в Userinit — «C:\Windows\system32\userinit.exe, «. Если там есть что-то лишнее — удаляете до тех параметров, которые изначально там должны быть. Также перейдите по пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, и если вы увидите папку DisallowRun, то смело её удаляете. Да и всё, что будет по этому пути — тоже удаляете, там никаких политик быть не должно. И ещё перейдите по пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и удалите там всё, что считаете лишним (кроме ваших программ), то есть программы и файлы, находящиеся по странному пути с различными буквами и со странными названиями. Также удаляете те, которые будут стартовать из папок с названием «Temp», а также файлы с названием «RealtekHD» и «NT Kernel & System», которые стартуют из «ProgramData». Тоже самое проделайте с тем же путём, но уже в HKEY_LOCAL_MACHINE. Если запутались и не знаете, что можно там удалять, а что нет — тогда можете прислать два скрина (с этим путем в HKEY_CURRENT_USER и в HKEY_LOCAL_MACHINE). Если будет ошибка «Реестр отключен администратором» — то сообщите об этом. Теперь вам надо зайти в безопасный режим с поддержкой сетевых драйверов. Для этого нажмите на сочетание клавиш Win + R (Win — клавиша с эмблемой Windows), вводите туда msconfig и нажимаете Enter. Перейдите во вкладку «Загрузка», поставьте галочку возле «Безопасный режим» и выберите «Сеть» чуть ниже. Жмёте «Применить» и «ОК». Перезагружаетесь. Теперь вы заходите в браузер и скачиваете эти утилиты:
1) Dr.Web CureIt! ( );
2) ESET Online Scanner ( );
3) KVRT ( );
4) AdwCleaner ( );
5) HitmanPro ( ).
(P.S. Смотри комментарии, прежде чем выполнять!)