Хочу розповісти вам друзі один стався зі мною випадок днями. Є у мене хороший друг ще зі школи, покликав мене з дружиною і дітьми в гості, природно я з собою нічого не взяв, навіть флешки з безкоштовною антивірусною програмою. Прийшли ми і не встигли роздягнутися, як до мене відразу підійшов маленький хлопчик (син мого друга) і каже: - "Дядя, тато сказав, що ви можете наш комп'ютер відремонтувати". - А що сталося? Кажу я. "Там з нас якісь дядьки гроші просять, кажуть наш Windows заблокований поповнити номер абонента, ми гроші з мамою їм поклали, але вони нас обдурили і комп'ютер знову не працює ". Друзі побачили замішання на моєму обличчі і запропонували не звертати увагу на це прикра подія.
Windows заблокований поповнити номер абонента
Підійшов я до комп'ютера і натиснув на кнопку POWER, чекаю поява старого знайомого, який не змусив себе довго чекати. По початку завантаження визначаю що встановлена Windows XP. Все як завжди на екрані монітора при вході в систему з'являється попередження - Windows заблокований для розблокування вам потрібно поповнити номер абонента ... , що означає зараження комп'ютера вірусом Trojan.Winlock або Trojan-Ransom, а ще простіше-Пошліть смс. Жодна кнопка на клавіатурі не працює, а так само жодне поєднання клавіш.
- Наприклад можна спробувати до моменту завантаження банера натиснути комбінацію Ctrl + Shift + Esc, дуже рідко щастить і ви зможете потрапити в диспетчер задач, потім знайти ворожий процес і завершити його. Або у вікні диспетчера задач вибрати файл->відкрити, далі набрати explorer і Ок, таким чином ви зможете потрапити в провідник, далі навідатися в папку З: \ Windows-> system32 і видалити всі файли що закінчуються на .exe і dll з датою на день зараження Windows банером. набравши команду msconfig, потрапите в автозавантаження-видаліть звідти все. команда regedit-> Входимо в реєстр, ну а далі повторюватися не буду, все дуже докладно написано в нашій статті Як прибрати банер.
На жаль нічого з цього не допомогло і ні в яку автозагрузку я не потрапив. В безпечний режим і безпечний режим з підтримкою командного рядка увійти теж не вдалося. Сиджу думаю далі, в голову стала закрадатися думка-зганяти за своїм валізою на інший кінець міста.
Всім своїм друзям комп'ютери купую я, зараз зазвичай системні блоки або ноутбуки йдуть з передвстановленою Windows. Після покупки я завжди роблю образ операційної системи, який розташовується на НЕ системному розділі, зазвичай (D :) або (Е :). Тим, хто міг собі дозволити програму Acronis True Image Home, (на офіційному сайті ціна всього 1 000 рублів на один комп'ютер) образ робив у вигляді бекапа в даній програмі, що дуже зручно. Бекап або образ завжди (якщо їх, бува, не видалять) можна розгорнути в разі крайньої необхідності, якщо нічого не допоможе. Якщо люди купували Acronis, значить у них повинен бути бекап системи і цілком може виявитися завантажувальний модуль цієї програми на компакт-диску.
Цікавлюся у друзів, які диски додавалися до комп'ютера при покупці і яке купувалося програмне забезпечення додатково. Знайшовся єдиний невідомий диск, який виявляється залишив я. На ньому красиво і марно для мене було написано -Диск відновлення Windows 7. На даному системному блоці була встановлена Windows ХР, відповідно даний диск нічим допомогти не міг. Чому питаю у вас ХР, адже спочатку сімка була, інакше б я вам такий диск не зробив? А мені відповідають. Спочатку була Windows 7, але на ній не запускалися багато ігор і ми переустановили Windows ХР.
Ну да ладно, що ми маємо: диск із середовищем відновлення Windows 7 і комп'ютер зі встановленою Windows ХР, заблокованої банером здирником. Перезавантажив я комп'ютер, зайшов в BIOS, виставив завантаження з дисковода і завантажився з даного диска відновлення Windows 7 (що це за диск і як його зробити, читайте в нашій статті), будь що буде.
Натискаємо будь-яку клавішу на клавіатурі.
Природно пошук встановлених систем нічого не дав, середа відновлення не знайшла жодної Windows,
і не було жодної постаті системи на додатковому розділі.
Залишалося одно зайти в командний рядок і спробувати увійти в провідник Windows, через відому команду notepad. Командний рядок і набираємо notepad. Потрапляємо в блокнот, тут файл і відкрити.Будь ласка перед нами провідник, вже не погано і у нас з'явилися невеликі шанси на успіх.В першу чергу вірус вимагач змінює в реєстрі параметри UserInit і Shell в гілці HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.В ідеалі вони повинні бути такими:
Userinit - C: \ Windows \ system32 \ userinit.exe,
Shell - explorer.exe
Що б переглянути їх, потрібно зайти в реєстр заблокованої системи, зробити це можна наприклад з диска Live CD, що дає можливість підключитися до операційної системи або ідеальний варіант за допомогою спеціальних дисків відновлення ERD Commander в Windows ХР і Microsoft Diagnostic and Recovery Toolset в Windows 7. Детальніше читайте в нашій статье- Як видалити банер. У мене з собою такого диска не було і залишався один варіант. В цьому випадку можна зайти в папку З: \ Windows \ repair (Не забувайте в типах файлів вказувати всі файли, а то ви нічого не побачите),
там зберігаються резервні копії файлів реєстру, створені при установці Windows XP, далі скопіювати звідти файли реєстру SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM і замінити ними пошкоджені файли реєстру з такими ж назвами в папці C: \ Windows \ System32 \ Config.
На жаль багато встановлені програми відмовляться працювати, так як стан реєстру буде таке, яке воно було на момент установки Windows ХР. У моїх знайомих ніяких особливих програм, які не можна було б в разі необхідності перевстановити не було. В першу чергу я зайшов в папку C: \ Windows \ System32 \ Config і видалив звідти пошкоджені файли реєстру -SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM, до речі перед видаленням можете їх скопіювати на всякий випадок в будь-яку папку.
Потім я зайшов в папку С: \ Windows \ repair і скопіював з неї в папку C: \ Windows \ System32 \ Config резервні файли реєстру SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM.
Ще я видалив все з папок Temp. У Windows ХР вони знаходяться:
З: \ Documents and Settings \ Профіль користувача \ Local Settings \ Temp
З: \ Documents and Settings \ Профіль користувача \ Local Settings \ Temporary Internet Files.
C: \ Windows \ Temp.
Так само повністю очистив папку C: \ Windows \ Prefetch.
У папці С: \ Windows-> system32, переглянув файли що закінчуються на .exe і dll, з датою на вчорашній день, коли відбулося зараження комп'ютера банером здирником, знайшов такий всього один і видалив його.
Потім перезавантажився. Windows ХР завантажилася без повідомлення-Windows заблокований поповнити номер абонента, багато програм вдалося запустити безпосередньо з особистих папок в C: \ Program Files. Ігри все запустилися взагалі без проблем.
Мітки до статті: Віруси Системні функції