Троян блокира Windows

Съдържание

Вашият Windows е заключен

Троянски кон - вируси от фамилията Winlock, които блокират работата на системата Windows - изнудвачи на истински пари. През последните няколко години те не само се развиха, но започнаха да представляват сериозен проблем в сигурността на компютърните системи. Предлагаме да прочетете препоръки за това как можете сами да се справите с тях и понякога дори да предотвратите заразяването на вашия собствен компютър.

Троянски вирус се появява бързо в системата и най-лошото е, че остава незабелязан. Потребителят извършва обичайните действия, преглежда страниците, комуникира или изтегля необходимите файлове. И изведнъж на екрана се появява банер, който е просто невъзможно да се премахне. Снимките на банерите могат да бъдат различни - порнографски или дори със заплашителен дизайн.

Но в крайна сметка потребителят е изнуден да преведе необходимата сума пари по сметката или да изпрати платен SMS. Такива банери винаги се поставят върху всички останали прозорци, за да привлекат вниманието на потребителя. В края на текста на съобщението почти винаги можете да намерите заплаха за наказателно преследване или премахване на всички папки и файлове от дисковете на компютъра, ако прехвърлянето на средства не бъде завършено в рамките на ограничен период от време.

Надяваме се, че разбирате, че не трябва да се извършват операции по парични преводи. Като начало е препоръчително да се опитате да намерите оператора на посочения клетъчен номер, след което да съобщите за инцидента на службата за сигурност. Понякога операторите дори ще могат да ви кажат кода за отключване онлайн, но не трябва да разчитате твърде много на такова „щастие“.

Борба сами

Кодът за отключване съществува и може да се използва за убиване на някои троянски коне. Много рядкоима процес на тяхното самоизтриване след въвеждане на правилния код, който понякога може да бъде получен, като отидете в съответните секции на уебсайтовете на антивирусните компании. Пример.

Kaspersky Lab предлага и услуга за отключване на системата.

Ако успеете да завършите успешно отключването, не бързайте да се радвате и да изключите компютъра. Изтеглете антивирусна програма безплатно и кажете на системата да стартира сканиране. Препоръчваме да използвате Kaspersky VRT (инструмент за премахване на вируси) или Doctor WEB Cure It.

Лечение на вируси

Преди да използвате сложни методи и специален софтуер, трябва да опитате да използвате наличните инструменти.

Чрез натискане на клавишите CTRL + SHIFT + ESC или стандартната комбинация CTRL + ALT + DEL извикваме диспечера на задачите. Ако това действие работи, тогава трябва да се борите с проста версия на вируса. Освен това битката ще бъде бърза и лесна. Просто трябва да намерите името на вируса в списъка с работни процеси и да изберете опцията „принудително прекратяване“.

Подозрително неразбираем процес, открит в диспечера на задачите, може да е троянски кон.

Ако намерите неясно име на процес и няма описание, значи сте на прав път. Остава само да завършите този процес. Можете също така просто да започнете да убивате всички "подозрителни" процеси един по един, докато банерът изчезне.

Ако диспечерът не стартира, можете да опитате да използвате разширения мениджър на процеси. По-долу можете да видите как изглежда подозрителният процес в System Explorer.

System Explorer е усъвършенстван мениджър на процеси

Можете да изтеглите тази програма по всеки наличен начин. Избирайки командата "Провери", ще започнете да търсите информацияза определен процес в онлайн базата данни, но по-често картината все пак става ясна. След като затворите банера, трябва да рестартирате "Explorer", като изберете процеса explorer.exe. В диспечера на системните процеси щракнете върху:

Файл »Нова задача »c:\Windows\explorer.exe.

Когато троянски кон е временно деактивиран, всичко, което трябва да направите, е да намерите неговия файл и след това да го изтриете. Тези стъпки могат да бъдат извършени ръчно или с помощта на безплатна антивирусна програма.

AutoRuns ще демонстрира всички обекти, които имат режим на автоматично стартиране (само малка част може да се види на екранната снимка на демонстрацията).

Военни трикове

Можете да "победите" троянски кон в началния етап, ако знаете поведението на стандартните програми. Когато видите банера, опитайте да стартирате Notepad или WordPad. Като натиснете WIN+R, опитайте да напишете бележник, последвано от натискане на ENTER. В долната част, под банера, ще видите нов документ на Word. След като въведете абракадабра, натиснете за кратко изключване директно на системния модул. Това трябва да доведе до прекратяване на всички процеси, включително троянския вирус, но компютърът няма да се изключи.

Notepad помага да върнете достъпа до администратора!

Прозорецът „Запазване на промените във файл?“ ще остане на екрана. И така, премахнахме банера от екрана за времетраенето на сесията и можем да опитаме да довършим злонамерения троянски кон, преди да започне рестартирането.

Старата школа

Разширените съвременни версии на троянските коне са оборудвани с инструменти за противодействие на всички опити да се отървете от тях. Такива вируси могат да блокират стартирането на диспечера на системните задачи, като заменят други системни компоненти.

Ключове в системния регистър, които често се модифицират от троянски коне Winlock

Често виждате пълни пътища директно към троянските файловеможете в секциите Shell и Userinit на клона на системния регистър HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

В "Shell" троянецът е изписан вместо explorer.exe, а в "Userinit" е посочен директно след запетаята. Трябва да копирате пълното име на троянския файл в клипборда от първия намерен запис. В командния ред напишете del, след това направете интервал и с щракване на мишката отворете контекстното меню.

В него изберете командата "Вмъкване" и натиснете ENTER. Така троянският файл ще бъде изтрит. Когато троянски кон е премахнат от конзолата, файлът за премахване се намира във временната папка.

В регистъра на операционната система трябва също да търсите по името на троянския файл, като внимателно прегледате всички намерени записи и изтриете всички подозрителни. След това преминаваме към изчистване на всички временни папки и кошчето. И накрая, трябва да сканирате с всяка антивирусна програма.

Ако троянският кон е блокирал мрежовите връзки, можете да опитате да ги възстановите с помощта на малката, но мощна помощна програма AVZ чрез настройките на Windows Sockets API.

добра работа

В случай на сериозни инфекции е почти безполезно да се опитвате да се борите вътре в заразената система. Логично е да стартирате от всяка друга чиста система и сравнително спокойно да се опитате да излекувате основната, заразена система. Има различни начини да направите това, но един от най-простите е безплатната помощна програма Kaspersky WindowsUnlocker. Подобно на Dr WEB LiveCD, тази програма е базирана на Gentoo Linux. Записваме файла с изображение на някакъв диск или създаваме стартиращо флаш устройство с помощта на помощната програма Kaspersky USB Rescue Disk Maker.

Създайте стартиращо флаш устройство, като използвате изображението на Kaspersky Rescue Disk

опитенпотребителите могат да направят това предварително, докато останалите най-често се обръщат към приятели, колеги или отиват в най-близкия интернет клуб, когато инфекцията вече е настъпила.

Докато включвате заразения компютър, трябва да задържите клавиша, за да влезете в BIOS на компютъра. Обикновено това са бутоните DELETE или F2, съответната подкана ще се покаже в долната част на екрана. След това трябва да поставите Kaspersky Rescue Disk или предварително подготвено стартиращо флаш устройство. В Опции за зареждане (настройки за опции за зареждане) изберете CD / DVD устройството или флаш устройството като първо устройство за зареждане. Следващата стъпка е да запазите промените с F10 и да излезете от BIOS.

Повечето съвременни версии на BIOS предлагат да изберете устройство за зареждане по време на процеса на зареждане, без да влизате в основните настройки. Трябва да натиснете F11, F12 или клавишната комбинация, посочена на екрана. След рестартирането ще стартира Kaspersky Rescue Disk.

Борба в началото

Отделен подклас са троянските вируси, които заразяват основния запис за стартиране на компютъра (MBR). Те могат да се появят на екрана дори преди зареждането на операционната система и може да не се появят в секциите за автоматично стартиране.

Първоначалните стъпки в борбата срещу такива вируси се състоят във възстановяване на MBR в първоначалното му състояние. За случая на XP трябва да стартирате от инсталационния диск на Windows, да натиснете клавиша R и да извикате конзолата за възстановяване, където трябва да напишете командата fixmbr. След това го потвърдете, като натиснете Y и започнете да рестартирате. Windows 7 използва BOOTREC.EXE като такава помощна програма и съответно синтаксисът на командата ще бъде както следва:

Bootrec.exe/FixMbr

След тези манипулации системата започва да се зарежда отново. Можете да продължите към по-нататъшно търсене на физически копия на троянския кон.

Откриваме вируса с кръстата отвертка

Борбата с троянските вируси може да бъде дълга и продължителна, ако имате лаптоп или компютър с ниска мощност, тъй като е трудно да стартирате от други устройства и сканирането отнема време, за да завърши. Най-простото решение е просто да премахнете твърдия диск със заразената система и да го свържете физически към друг компютър. Можете да използвате специални кутии, оборудвани с eSATA или USB 3.0/2.0 интерфейс.

За да не разпространявате вируси, първо трябва да деактивирате възможността за автоматично стартиране от HDD на "лечебния" компютър. Най-лесният начин да направите това е с помощта на помощната програма AVZ, която между другото е безплатна и е по-добре да извършите проверката директно с нещо друго. Отворете менюто "Файл", изберете "Съветници за отстраняване на проблеми". Маркираме "Системни проблеми", "Всички" и щракнете върху "Старт". След това е необходимо да поставите отметка до елемента „Разрешено е автоматично стартиране от HDD“ и да кликнете върху „Коригиране на проблеми с флаг“.

Деактивирайте автоматичното стартиране

Също така, преди да свържете заразен твърд диск, трябва да се уверите, че антивирусната програма на компютъра вече работи в режим на монитор и че има свежи (актуализирани) антивирусни бази данни.

В бъдеще, за да предотвратите повторно заразяване, трябва да инсталирате антивирусна програма (всяка) с поддръжка за мониторинг на системата в реално време, както и да следвате общите правила за сигурност:

  • работа чрез директно влизане в акаунт, който предполага ограничени права;
  • използвайте алтернативни WEB браузъри - много инфекции стават през дупки в сигурността на Internet Explorer;
  • деактивирайте Java скриптове за неизвестни сайтове;
  • деактивирайте автоматичното стартиране за сменяеми носители;
  • инсталирайте програми и актуализации с помощта насамо официални уебсайтове на разработчици;
  • старайте се винаги да обръщате внимание на пътя на предложената връзка;
  • блокирайте изскачащите нежелани прозорци;
  • своевременно инсталиране на актуализации за браузъри, системни и общи компоненти.

Ако се интересувате от тази тема, посетете проекта GreenFlash. Там ще намерите разнообразие от полезни и интересни решения, както и препоръки за създаване на стартираща флашка.

Не бива обаче да забравяме, че разпространението на троянските вируси Winlock засегна не само България и съседните страни. Техните модификации са известни с локализация на почти всички езици по света.

Допълнителна информация по темата

Описание на няколко метода, чрез които можете да блокирате стартирането на конкретно приложение на Windows

Статията описва процеса на настройка на локална мрежа в среда на Windows 7

Ето списък с няколко начина за отваряне на блокирани сайтове в България

Случва се потребителите да забравят своите пароли, в който случай те могат да бъдат възстановени с помощта на администраторски акаунт или специални програми