Как убрать WinLocker

В общем  столкнулся с проблемой, называемой Winlocker или Винлокер, или Блокировщик Виндовс — как кому угодно….

Суть проблемы:

На компьютере жертвы, троянской программой подменяются стандартные ключи реестра
HKEY_Local_MACHINE->SOFTWARE->Microsoft ->Windows NT-> CurrentVersion -> Winlogon:
Shell, UIHost, Userinit на пути, ведущие к исполняемому файлу трояна.

shell, userinit, UIHost
shell, userinit, UIHost

 

ко всему прочему, деактивируется диспетчер задач выставлением в 1 значения ветви реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr=DWORD:1

disable Task Manager
disable Task Manager

 

Результатом этих извращений, после перезагрузки — будет нелицеприятное окошко, от имени ФБР, ФСБ, СБУ, КГБ СССР, Президента Планеты Земля обвиняющее вас во всех смертных грехах, совершённых в просторах интернета, и требующее NNN-ую сумму денег, за разблокирование операционной системы с инструкциями на какой счёт, и каким образом их перечислить и, якобы, после оплаты штрафа и ввода кода разблокирования, выданного в чеке платёжного терминала, или присланного в ответном СМС – всё восстановится чудеснейшим образом… Не тут-то было.

WinLocker
WinLocker
Win Locker
WinLocker
блокировщик виндовс
winlocker

 

 

 

 

Воришка, «сотворивший» данное «произведение искусства» не имеет ни малейшего желания каким-либо образом контактировать с вами, а уж тем более доступа к платёжному терминалу, чтобы в чеке сообщить вам пресловутый код, даже если он существует в природе. Не торопитесь что-то кому-то оплачивать. Оплатив – вы сделаете ещё хуже:
— лишитесь кровно заработанных денег
— стимулируете «создателя» баннера на дальнейшие свершения
— останетесь с заблокированной операционной системой.

Решение проблемы:

На самом деле вариантов несколько.
1. AntiWinLocker — здесь всё просто. Нужно создать загрузочный диск или флэш на другом компьютере, загрузиться с них на зараженном и следовать инструкциям.
2. Если не помогло – попробовать скачать бесплатно с оф. сайта Касперского  или drWeb  CD или USB – лечащие утилиты, которые также записываются на загрузочную флэш или диск, загрузиться с них на зараженном компьютере и следовать инструкциям.
3. Загрузиться с любого загрузочного диска либо флэшки (Live CD, ERD-commander) и отредактировать реестр вручную:

  •  грузимся с ERD commander (должна быть привязка именно к вашей версии ОС-Win 7х32, 7х64, Vistax32, Vistax64,XP, чтобы получить доступ к редактору реестра и управлению-авторан), со вставленным флеш носителем содержащим файлы explorer.exe userinit.exe идентичные для вашей версии Windows (разрядность должна совпадать). В моём случае использовался диск  от лаборатории Касперского, основанный на дистрибутиве OpenSuse, в состав кроме лечащей антивирусной программы (которая, к слову, не помогла) входит удобный редактор реестра Windows.
    — проверяем в реестре раздел Winlogon на соответствие Shell, Userinit и explorer
    HKEY_Local_MACHINE->SOFTWARE->Microsoft ->Windows NT-> CurrentVersion -> Winlogon:
    параметр Userinit должен быть C:\Windows\system32\userinit.exe,
    параметр Shell —  Explorer.exe,
    параметр UIHost – logonui.exe
  •  подменяем на всякий случай эти файлы через проводник.
    первый находится в папке windows второй windows\system32
    (действие не обязательно, но желательно, поскольку некоторые разновидности винлокеров подменяют файлы).
  •  переходим в управление автозагрузкой HKEY_CURRENT_USER->Software->Microsoft->Windows->CurrentVersion->Run
  • управление автозагрузкой
    управление автозагрузкой

 

  • обычно только в пользователе но изредка бывает и во вкладке HKEY_LOCAL_MACHINE->Software->Microsoft->Windows->CurrentVersion->Run,
    удаляем оттуда ненужные и неизвестные загрузочные записи, если Win 7, то перед очисткой автозагрузки реестра — смотрим расположение неизвестных файлов — удаляем их в каталогах.
  •  удаляем все из папок Temp и Temporary Internet Files
    проверяем в documents and settings , рабочий стол, application data , мои документы и, еще несколько подкаталогов куда любят прятать винлокеры, на наличие подозрительных исполняемых файлов. Удаляем, если находим.
  •  перегружаемся заходим в систему запускаем антивирус, для полной уверенности можно установить программу Ccleaner и ней почистиь остатки мусора и реестр после винлокера.
Кол-во просмотров: 444

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Оставить ссылку на вашу статью

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.