Как удалить вирус и разблокировать Windows 7


Что делать если баннер заблокировал компьютер?

Несмотря на то, что я уже неоднократно в разных своих статьях писал о том, как разблокировать Виндовс 7, Vista или XP (ведь Winlock может заблокировать только ОС от Microsoft:)

Как разблокировать компьютерСегодня я решил описать самый простой способ разблокировать компьютер.

 Почему WinLock может заблокировать только ОС семейства Виндовс?

Для непосвященных, отвечу:

Потому что, любая среда ООП имеет доступ к WinApi функциям. Win API является базовым набором функций программирования приложений ОС семейства Виндовс, и в свою очередь позволяет разным приложениям напрямую взаимодействовать с этой ОС.

Ну теперь я думаю что вы уже начинаете догадываться откуда ноги растут. :)
Просто я в свое время начинал изучение ООП именно с использования функций WinApi.

Веселые это были времена, ну да ладно…

В конце статьи я расскажу, как разблокировать компьютер без отправки СМС и ввода кода разблокировки. Это очень простой и тщательно проверенный метод, который выручал меня уже не один раз, и работает практически со всеми версиями Windows.

На прошлой неделе, я по каким то загадочным 😀  стечением обстоятельств оказался на другой (противоположной моему месту жительства)  стороне моего любимого города Орла. Ну и пользуясь случаем решил зайти в гости к одним своим знакомым, те же в свою очередь очень обрадовались, и тут же вручили мне  ноутбук! Но это и понятно, я же ведь: тыжпрограммист?

А там играла, все та же, старая песня [О главном], точнее о пренебрежении этим главным, т. е. безопасностью.

На их ноуте стояла, но не долго красовалась, Win 7. Зловред ее мальца пофиксил. Ну а я как настоящий тыжпрограммист, всегда с собой беру, нет не видеокамеру, а пару флешек и LiveCD Alkid. Вообще, в большинстве известных мне случаев, для разблокировки компа, вполне достаточно иметь LiveCD Kaspersky Rescue Disk или Dr. Web, ну или на худой конец AntiWinLockerLiveCD, у меня же, как вы догадываетесь ничего подобного с собой не было.  Да и не пользуюсь я этими утилитами, мне как кодеру интересно, что представляет из себя тот или иной зловред.

Как самостоятельно разблокировать компьютер?

Чаще всего WinLock подменяет собой значение параметра Shell.

Как удалить WinLock

Как удалить WinLock

Shell это оболочка ОС Виндовс, которая позволяет пользователю взаимодействовать с операционной системой от Microsoft. И в качестве значения, параметра Shell выступает всем известный Explorer, который является проводником,  и  отвечает за внешний вид Виндовс, т. е. это графическая оболочка Винды. И по этому, для того что-бы Винду превратить в подобие печатной машинки, вполне достаточно заменить параметр реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Widows NT\CurrentVersion\Winlogon\shell explorer # на

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Widows NT\CurrentVersion\Winlogon\shell notepad

И чаще всего баннер вымогатель, который блокирует более ранние версии ОС от Microsoft, например XP или 2000 сидит именно здесь. Поэтому параметру Shell всегда должно соответствовать значение explorer.exe, а параметру Userinit соответственно userinit.exe, который находится в системной папке system32, вот по этому пути c:\Widows\system32\userinit.exe

Trojan.Winlock удалил Userinit

Trojan.Winlock удалил Userinit

И если вирь изменил значение параметра Userinit с С:\Windows\system32\userinit.exe, например на  C:\Documents and Settings\All Users\Application Data\баннер.ехе то  его необходимо исправить на первоначальное.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Widows NT\CurrentVersion\Winlogon\Userinit\userinit.exe

Также вирь может прописаться по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Widows NT\CurrentVersion\Winlogon\UIHost\trojan.exe

Соответственно необходимо исправить значение ключа UIHost, которому должно соответствовать: logonui.exe, иначе вы просто не сможете зайти в свою систему.

А иногда у меня бывало, что зловред просто удалял файл userinit, и тогда его необходимо было восстановить с загрузочного диска, и делается это так:

expand X:\i386\userinit.ex_ C:\Windows\system32\userinit.exe

Соответственно, если зловред удалил explorer то:

expand X:\i386\explorer.ex_ C:\Windows\explorer.exe

А вообще бы я рекомендовал проверить последнюю дату изменения файлов: Winlogon, userinit  и taskmgr. И если эти изменения имели место, то эти файлы необходимо заменить на оригинальные, с установочного диска Виндовс или рабочей машины.

Хотя конечно же бывают примитивные баннеры, которые тупо прописываются в автозагрузку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Widows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Widows\CurrentVersion\RunServices

HKLM\SOFTWARE\Microsoft\Widows\CurrentVersion\policies\Explorer\Run

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Вот по этому принципу и работает большинство баннеров блокировщиков. Из-за политики безопасности (по умолчанию) в семерке, вирь не может прописать себя в этой ветке реестра, т. к. для этого ему необходимы права администратора, по этому он создает и модифицирует вот эту ветку реестра:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell

И уже там делает свое грязное дело:) Поэтому параметр Shell можно от туда смело удалять. Иногда зловреды прописываются вот в этом месте:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\explorer

В таком случае необходимо удалить параметр который вызывает explorer, не более того.

Самый простой способ разблокировать комп

В моем же случае все было подозрительно чисто, поэтому я решил воспользоваться самым простым способом восстановления, после появления баннера вымогателя, а именно вошел в безопасном режиме (F8) с поддержкой командной строки, и когда загрузилась cmd вбил:

c:\WINDOWS\system32\Restore\rstrui.exe

Но можно просто rstrui, и у меня появилось окно Восстановление системы Windows. Далее система предложила мне выбрать точку восстановления, тут необходимо поставить галочку в чекбоксе Показать другие точки восстановления и выбрать дату, когда компьютер нормально функционировал. Потом необходимо все подтвердить, и должно появиться окно:

Восстановление Windows

Восстановление Windows

Здесь не раздумывая необходимо нажать на кнопку Да!

И после этого запускается процесс восстановления, потом будет перезагрузка, и как результат, работоспособная система. Немного позже я скачал (и вам настоятельно рекомендую) последнюю версию  Dr. Web CureIt! или Kaspersky Virus Removal Tool 2013 и просканировал систему на наличие вирусов!

Ну а я, как всегда, получил свое: Спасибо за табак!

P.S. …и умиротворенно, с чувством выполненного долга, отправился домой. :) А если вы забыли пароль от своей учетной записи, то рекомендую почитать статью: Как сбросить пароль администратора Windows 8. Данный метод восстановления пароля подходит и отлично работает со всеми версиями ОС от Microsoft.