Блокировщики Windows (Trojan.Winlock)

До сих пор люди сталкиваются с проблемой блокировки Windows. После посещения вредоносной ссылки, присланной кем-то, якобы другом или любым случайным человеком в социальной сети (как правило Мир на mail.ru или Одноклассники) человек обнаруживает, что на экране его компьютера появляется баннер сообщающий, что компьютер заблокирован и требующий отправки смс на номер злоумышленника или оплаты через терминалы.

Несмотря на то, что блокировщики Windows распространяются уже не первый год, находятся те, кто отправляет смс злоумышленникам, теряя при этом от 300 до 1000 руб, но это не помогает и только тогда до них доходит, что надо обратиться к специалисту.

Если вы или кто из ваших знакомых столкнулся с данной проблемой, ни в коем случае не отправляйте никаких смс злоумышленникам, обращайтесь ко мне (+7 910 98 34 966, Дмитрий), помогу.

Как удалить блокировщик самостоятельно

Опытные пользователи могут и сами удалить блокировщика, особых сложностей тут нет.

Важнейшие шаги в данном случае -
1) исправить ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, параметр Shell должен иметь значение explorer.exe
2) удалить тело вируса, путь к нему прописан в параметре Shell, вышеуказанной ветки реестра.
в более сложных случаях (файл вируса имеет название 22CC6C32.exe) потребуется еще один шаг.
3) Зайти в C:\WINDOWS\system32\ найти файл userinit.exe, удалить его (это не оригинальный системный файл, а подмененный вирусом), здесь же найти файл 03014D3F.exe (это оригинальный файл переименованный блокировщиком) и вернуть этому файлу его настоящее имя userinit.exe
Все, после этого можно перезагружать компьютер, блокировка будет снята.
Есть и другая разновидность блокировщика, - указаная выше ветка реестра правильная, запуск вируса прописан в HKCU\Software\Microsoft\CurrentVersion\Run.

Если вы не знаете, как получить доступ к компьютеру для выполнения указанных выше операций по лечению, сообщаю, что надо воспользоваться LiveCD.

Узнать имя файла вируса и его нахождение можно загрузившись в Windows Live CD (точнее Alkid Live CD) и отредактировать реестр вашей заблокированной системы. Для этого
1) в программах надо найти ERD Commander и выбрать каталог (папку) windows, установленной на вашем компьютере.
2) в этом же наборе программ ERD Commander найти Утилиты -> Редактор реестра.
В реестре просмотрите указанные выше ветки, если в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр Shell имеет значение не explorer.exe, тут прописано имя файла вируса, вашего блокировщика, если тут все как надо, то есть в Shell прописан explorer.exe, то идем дальше, в HKCU\Software\Microsoft\CurrentVersion\Run, проверяем что у вас запускается при старте системы, блокировщика вы найдете тут, запомните или запишеите название файла, ветку реестра запускаюющую блокировщик удалите. 3) Зайдите в домашний каталог пользователя (в Windows ХР он в "Documents and settings", в Windows 7 и 8 в "users" или "Пользователи"), найдите там тот файл, что был прописан в реестре, удалите (вообще в каталоге пользовтаеля не должно быть никаких исполняемых (то есть .ехе) файлов, их смело можно удалять).
4) перезагрузите систему, должно все загрузиться нормально, блокировка снята.

Если у вас есть Linux Live CD, то можете загрузиться в него, открыть mc, зайти на ваш системный раздел windows и войти в домашний каталог пользователя, там находите и удаляете исполняемые файлы (как я написал можно все ехе-файлы, там их быть не должно, можно для надежности проверить дату файла, у файла блокировщика дата свежая, должна соответствовать времени когда вы подхватили блокировщик). После перезагружаетесь в винду, блоикровка должна быть снята, система должна загрузиться нормально, но можно почистить и реестр, узнать ветку реестра в данном случае вы можете запустив msconfig (в Пуск- выполнить), там в разделе Автозагрузка будет указан ваш блокировщик, который вы только что удалили, его имя и правее ветка реестра, где прописан его запуск