Безопасный режим командная строка вирус

Обновлено: 27.03.2024

С кем боремся?

Первые программы-вымогатели активизировались в декабре 1989 года. Многие пользователи получили тогда по почте дискетки, предоставляющие информацию о вирусе СПИДа. После установки небольшой программы система приходила в неработоспособное состояние. За её реанимацию пользователям предлагали раскошелиться. Вредоносная деятельность первого SMS-блокера, познакомившего пользователей с понятием “синий экран смерти” была отмечена в октябре 2007 года.

Trojan.Winlock (Винлокер) — представитель обширного семейства вредоносных программ, установка которых приводит к полной блокировке или существенному затруднению работы с операционной системой. Используя успешный опыт предшественников и передовые технологии разработчики винлокеров стремительно перевернули новую страницу в истории интернет-мошенничества. Больше всего модификаций вируса пользователи получили зимой 2009-2010 гг, когда по данным статистики был заражен ни один миллион персональных компьютеров и ноутбуков. Второй пик активности пришелся на май 2010 года. Несмотря на то, что число жертв целого поколения троянцев Trojan.Winlock в последнее время значительно сократилось, а отцы идеи заключены под стражу, проблема по-прежнему актуальна.

Число различных версий винлокеров превысило тысячи. В ранних версиях (Trojan.Winlock 19 и др.) злоумышленники требовали за разблокировку доступа 10 рублей. Отсутствие любой активности пользователя спустя 2 часа приводило к самоудалению программы, которая оставляла после себя лишь неприятные воспоминания. С годами аппетиты росли, и для разблокировки возможностей Windows в более поздних версиях требовалось уже 300 – 1000 рублей и выше, о самоудалении программы разработчики скромно забыли.

В качестве вариантов оплаты пользователю предлагается СМС – платеж на короткий номер или же электронный кошелек в системах WebMoney, Яндекс Деньги. Фактором, “стимулирующим” неискушенного пользователя совершить платеж становится вероятный просмотр порносайтов, использование нелицензионного ПО… А для повышения эффективности текст-обращение вымогателя содержит угрозы уничтожить данные на компьютере пользователя при попытке обмануть систему.

Пути распространения Trojan.Winlock

В большинстве случаев заражение происходит в связи с уязвимостью браузера. Зона риска – все те же “взрослые” ресурсы. Классический вариант заражения – юбилейный посетитель с ценным призом. Еще один традиционный путь инфицирования – программы, маскирующиеся под авторитетные инсталляторы, самораспаковывающиеся архивы, обновления – Adobe Flash и пр. Интерфейс троянов красочен и разнообразен, традиционно используется техника маскировки под окна антивирусной программы, реже — анимация и др.

Среди общего многообразия встречающихся модификаций, Trojan.Winlock можно разделить на 3 типа:

  1. Порноиформеры или баннеры, заставляющиеся только при открывании окна браузера.
  2. Баннеры, остающиеся на рабочем столе после закрытия браузера.
  3. Баннеры, появляющиеся после загрузки рабочего стола Windows и блокирующие запуск диспетчера задач, доступ к редактору реестра, загрузку в безопасном режиме, а в отдельных случаях – и клавиатуру.

Вредные привычки Trojan.Winlock

Для обеспечения распространения и автозапуска вирусы семейства Trojan.Winlock модифицируют ключи реестра:

-[. \Software\Microsoft\Windows\CurrentVersion\Run] 'svhost' = '%APPDATA%\svhost\svhost.exe'
-[. \Software\Microsoft\Windows\CurrentVersion\Run] 'winlogon.exe' = '\winlogon.exe'

С целью затруднения обнаружения в системе вирус блокирует отображение срытых файлов, создает и запускает на исполнение:

Создает следующие файлы:

  • %APPDATA%\svhost\svhost.exe
  • %TEMP%\uAJZN.bat
  • ClassName: 'Shell_TrayWnd' WindowName: ''
  • ClassName: 'Indicator' WindowName: ''

Лечение. Способ 1-й. Подбор кодовой комбинации по платежным реквизитам или номеру телефона

Распространенность и острота проблемы подтолкнула разработчиков антивирусных программ к поиску эффективных решений проблемы. Так на сайте Dr.Web в открытом доступе представлен интерфейс разблокировки в виде окошка, куда нужно ввести номер телефона или электронного кошелька, используемые для вымогательства. Ввод соответствующих данных в окошко (см. рис. ниже) при наличии вируса в базе позволит получить желаемый код.

сервис разблокировки DRWeb

Способ 2. Поиск нужного кода разблокировки по изображению в базе данных сервиса Dr.Web

На другой странице сайта авторы представили еще один вариант выбора — готовую базу кодов разблокировки для распространенных версий Trojan.Winlock, классифицируемых по изображениям.

Аналогичный сервис поиска кодов представлен антивирусной студией ESET, где собрана база из почти 400 000 тысяч вариантов кодов разблокировки и лабораторией Касперского, предложившей не только доступ к базе кодов, но и собственную лечащую утилиту — Kaspersky WindowsUnlocker.

Способ 3. Утилиты – разблокировщики

Сплошь и рядом встречаются ситуации, когда из-за активности вируса или сбоя системы Безопасный режим с поддержкой командной строки, позволяющий провести необходимые оперативные манипуляции оказывается недоступным, а откат системы по каким-то причинам также оказывается невозможным. В таких случаях Устранение неполадок компьютера и Диск восстановления Windows оказываются бесполезны, и приходится задействовать возможности восстановления с Live CD.

Для разрешения ситуации рекомендуется использовать специализированную лечащую утилиту, образ которой потребуется загрузить с компакт диска или USB-накопителя. Для этого соответствующая возможность загрузки должна быть предусмотрена в BIOS. После того, как загрузочному диску с образом в настройках БИОС будет задан высший приоритет, первыми смогут загрузиться CD-диск или флэшка с образом лечащей утилиты.

В общем случае зайти в БИОС на ноутбуке чаще всего удается при помощи клавиши F2, на ПК – DEL/DELETE, но клавиши и их сочетания для входа могут отличаться (F1, F8, реже F10, F12…, сочетания клавиш Ctrl+Esc, Ctrl+Ins, Ctrl+Alt, Ctrl+Alt+Esc и др.). Узнать сочетание клавиш для входа можно, отслеживая текстовую информацию в нижней левой области экрана в первые секунды входа. Подробнее о настройках и возможностях BIOS различных версий можно узнать здесь.

Поскольку работу мышки поддерживают только поздние версии BIOS, перемещаться вверх и вниз по меню вероятнее всего придется при помощи стрелок “вверх” – “вниз”, кнопок “+” “–“, ”F5” и ”F6”.

AntiWinLockerLiveCD

Одна из самых популярных и простых утилит, эффективно справляющаяся с баннерами-вымогателями – “убийца баннеров” AntiWinLockerLiveCD вполне заслужила свою репутацию.

логотип программы


Основные функции программы:

  • Фиксирование изменений важнейших параметров Операционной системы;
  • Фиксирование присутствия в области автозагрузки не подписанных файлов;
  • Защита от замены некоторых системных файлов в WindowsXP userinit.exe, taskmgr.exe;
  • Защита от отключения вирусами Диспетчера задач и редактора реестра;
  • Защита загрузочного сектора от вирусов типа Trojan.MBR.lock;
  • Защита области подмены образа программы на другой. Если баннер не даёт загрузится Вашему компьютеру, AntiWinLocker LiveCD / USB поможет его убрать в автоматическом режиме и восстановит нормальную загрузку.
  • Восстанавливает корректные значения во всех критических областях оболочки;
  • Отключает не подписанные файлы из автозагрузки;
  • Устраняет блокировку Диспетчера задач и редактора реестра;
  • Очистка всех временных файлов и исполняемых файлов из профиля пользователей;
  • Устранение всех системных отладчиков (HiJack);
  • Восстановление файлов HOSTS к первоначальному состоянию;
  • Восстановление системных файлов, если он не подписаны (Userinit, taskmgr, logonui, ctfmon);
  • Перемещение всех неподписанных заданий (.job) в папку AutorunsDisabled;
  • Удаление всех найденных файлов Autorun.inf на всех дисках;
  • Восстановление загрузочного сектора (в среде WinPE).

Программа – настоящая находка для начинающих пользователей, поскольку позволяет выбрать режим автоматической проверки и коррекции, в процессе которой вирус и последствия его активности будут найдены и нейтрализованы за несколько минут практически без участия пользователя. После перезагрузки машина будет готова продолжить работу в нормальном режиме.

Последовательность действий предельно проста:

Скачиваем файл AntiWinLockerLiveCD нужной версии на сторонний компьютер в формате ISO, вставляем CD компакт-диск в его дисковод и затем, щелкнув правой кнопкой мышки по файлу выбираем ”Открыть с помощью”, далее выбираем “Средство записи образов дисков Windows” – “Записать” и переписываем образ на CD-диск. Загрузочный диск готов.

сайт разработчика

  • Помещаем диск с образом в дисковод заблокированного ПК/ноутбука с предварительно настроенными параметрами BIOS (см. выше);
  • Ожидаем загрузки образа LiveCD в оперативную память.
  • После запуска окна программы выбираем заблокированную учетную запись;
  • Выбираем для обработки данных версию Professional или Lite. Бесплатная версия (Lite) подходит для решения почти всех поставленных задач;
  • После выбора версии выбираем диск, на котором установлен заблокированный Windows (если не выбран программой автоматически), учетную запись Пользователя, используемую ОС и устанавливаем параметры поиска.

Нажимаем ”Старт”/”Начать лечение”.

Ожидаем результатов проверки. Проблемные файлы по ее окончании будут подсвечены на экране красным цветом.

вирусы найдены

Как мы и предполагали, особое внимание при поиске вируса в приведенном примере программа уделила традиционным ареалам его обитания. Утилитой зафиксированы изменения в параметрах Shell, отвечающих за графическую оболочку ОС. После лечения и закрытия всех окон программы в обратном порядке, нажатия кнопки ”Выход” и перезагрузки знакомая заставка Windows вновь заняла свое привычное положение. Наша проблема решена успешно.

удаление баннера-вымогателя


В числе дополнительных полезных инструментов программы:

  • Редактор реестра;
  • Командная строка;
  • Диспетчер задач;
  • Дисковая утилита TestDisk;
  • AntiSMS.

автозагрузки

Trojan.Winlock, как правило, не зарывается слишком глубоко, и достаточно предсказуем. Все, что нужно для того, чтобы напомнить ему свое место – пару хороших программ и советов, ну и, конечно же, осмотрительность в безграничном киберпространстве.

Профилактика

Чисто не там, где часто убирают, а там, где не сорят! — Верно сказано, а в случае с веселым троянцем, как никогда! Для того, чтобы свести к минимуму вероятность заразы стоит придерживаться нескольких простых и вполне выполнимых правил.

Пароль для учетной записи Админа придумайте посложней, что не позволит прямолинейному зловреду подобрать его методом простейшего перебора.

В настройках браузера отметьте опцию очищения кэша после сеанса, запрет на исполнение файлов из временных папок браузера и пр.

Всегда имейте под рукой лечайщий диск/флэшку LiveCD (LiveUSB), записанную с доверенного ресурса (торрента).

Не реже чем раз в две недели создавайте контрольную точку восстановления.

Любой сомнительный софт — кряки, кайгены и пр. запускайте под виртуальным ПК (VirtualBox и пр.). Это обеспечит возможность легко восстановить поврежденные сегменты средствами оболочки виртуального ПК.

Регулярно выполняйте резервное копирование на внешний носитель. Запретите запись в файлы сомнительным программам.
Удачи вам в начинаниях и только приятных, а главное — безопасных встреч!

Послесловие от команды iCover

Добрый день друзья! Ни для никого не секрет, что информационный мир помимо великого многообразия полезной информации несет нам множество опасностей, такие как вирусы и шпионские программы.

Не всегда доходят руки вовремя обезопасить себя и установить стабильный антивирусник и вот, пытаясь включить в очередной раз компьютер, мы наблюдаем такую неприятную картину как очень медленная работа компьютера, все начинает дико "тормозить" и "глючить", а в некоторых случаях компьютер и вовсе не загружается .

В данном случае удалить программу стандартными способами не представляется возможным и необходимо тщательно подойти к решению данной проблемы.

Рассмотрим основные способы решения данной проблемы:

Способ 1 Загрузочная флешка с антивирусом

Это самый удобный способ по устранению данной проблемы. Но для его использования необходимо заранее подготовить загрузочную флешку с антивирусной программой.

Для этого необходимо зайти на сайт антивирусной компании Dr.Web и скачать оттуда загрузочный антивирусный образ

Далее нужно выбрать пункт "скачать для записи на DVD" и соответственно скачать данный образ себе на компьютер

Далее необходимо записать данный образ на загрузочную флешку с помощью программы WinSetupFromUSB ( предварительно отформатировав флешку в системе NTFS)

Открываем окно программы, далее Выбираем нашу флешку, затем выбираем тип файловой системы ( NTFS), потом указываем на путь к образу с антивирусом ( который мы только что скачали) и жмем GO

После завершения процесса записи можно загружаться с данной флешки ( предварительно выставив настройки в BIOS) и проверять компьютер на вирусы

Способ 2 Удаление вируса с помощью "безопасного" режима

Если все же у вас не оказалось загрузочной флешки, можно попробовать удалить вирус с помощью безопасного режима загрузки.

Для этого после включения компьютера необходимо несколько раз нажать клавишу F8 и в появившемся меню выбрать пункт "Безопасный режим с поддержкой командной строки" и нажать Enter.

Далее в командной строке необходимо набрать команду msconfig и нажать ENTER.

После этого откроется меню Автозагрузки, где нужно искать "подозрительные" программы, которые вы раньше точно самостоятельно не устанавливали. Увидев эти программы и файлы необходимо снять с них "галочку" и нажать Ок

После этого действия компьютер в большинстве случае нормально загружается, но в любом случае необходимо дополнительно установить на компьютер свежий антивирус и просканировать систему.

Друзья, если вам понравилась данная статья, подписывайтесь на канал, пишите ваши комментарии!

Безопасный режим (Safe Mode) – минимальный вариант загрузки, при которой компьютер запускается с ограниченным (базовым) набором файлов и драйверов, жизненно необходимых для функционирования системы. Все остальные компоненты, обычно активируемые вслед за загрузкой минимального набора, безжалостно отсекаются. Для идентификации безопасного режима в углах экрана появляется поясняющая надпись.

Однако специфичность безопасного режима очевидна и без идентифицирующей надписи. В отличие от стандартной, минимальная загрузка начинается выводом на чёрный экран довольно длинного списка базовых драйверов и файлов. Приостановка загрузки на каком-либо драйвере или файле может иметь диагностическое значение, поэтому запишем его имя.

Как видно на скриншоте, по окончании загрузки в этом режиме отсутствует фоновый рисунок рабочего стола. Кроме этого, значки рабочего стола и их подписи отображаются существенно крупнее обычного, вследствие того, что разрешение экрана в этом режиме довольно грубое – 640*480 пикселей. Все эти эффекты – следствие того, что дополнительные компоненты системы, включая обеспечивающие комфортный просмотр на экране, в безопасном режиме не загружаются.

Вообще, этот режим сравним со следующей жизненной ситуацией. Что делает человек, у которого резко упали доходы? Правильно, уменьшает свои расходы, оставляя лишь те, без которых никак нельзя обойтись. Примерно так же поступает безопасный режим с обычно загружаемыми компонентами. В этом режиме фоновый рисунок экрана – недопустимая роскошь.

Использование безопасного режима

Дальнейшие наши действия по локализации неполадок должны производиться на предмет их выявления в компонентах, не входящих в приведённый перечень. Часто неисправность бывает связана с недавно добавленной программой или драйвером.

Запуск компьютера в безопасном режиме позволяет нам воспользоваться встроенными средствами диагностики, предусмотренными с этой целью Windows:

  • восстановлении (откате) системы к дате, когда загрузка производилась нормально;
  • поочерёдном временном исключении программ из списка автозагрузки для выявления той из них, которая блокирует штатную загрузку;
  • восстановлении предыдущей версии драйвера нового устройства через диспетчер задач (если новый драйвер мог оказаться несовместимым с текущей версией Windows).

Кроме диагностических целей, работа в этом режиме даёт нам возможность выполнить не терпящую отлагательства работу, например, набрать текст.

Способы входа в безопасный режим

Стандартный способ

Как видно, первый вариант этого меню предлагает пользователю заняться устранением неполадок компьютера. При его выборе можно попытаться восстановить работоспособность системы в режиме диалога с ней, доинсталлировав её повреждённые компоненты.

К рассматриваемой в статье теме относятся следующие три варианта меню, обведённые красной рамкой:

  • Безопасный режим;
  • Безопасный режим с загрузкой сетевых драйверов;
  • Безопасный режим с поддержкой командной строки.

Второй вариант безопасного режима удобен в случае, если при поиске неисправности потребуется выход в Интернет или домашнюю сеть. Третий вариант безопасного режима актуален для специалистов и опытных пользователей, использующих в диагностических целях возможности командной строки.

Выбор безопасного режима в конфигурации системы

Как удалить вирус с моего компьютера без использования антивируса?

Все эти симптомы являются признаками того, что некачественной программе или вирусу удалось проникнуть в ваш компьютер и пройти через брандмауэр и текущую антивирусную программу.

Хотя всегда полезно запускать антивирусное программное обеспечение при установке новой программы, это программное обеспечение часто стоит дорого и все еще требует своевременной подписки.

А иногда они даже замедляют работу вашего компьютера.

Конечно, вы не хотите тратить значительную сумму денег на одну программу.

Эта проблема наводит на одну мысль.

Как я могу удалить вирус с моего компьютера без антивируса?

Итак, если вас интересует этот конкретный вопрос, то эта статья для вас.

В этой статье кратко описано несколько полезных способов удаления вируса с компьютера без антивируса, и это без потери каких-либо данных.

Как удалить вирус с ПК без установленного антивируса?

Вирусы замедляют работу наших компьютеров, а некоторые даже крадут наши данные.

Так что удалите их или сотрите, сегодня мы расскажем вам способы, с помощью которых вы можете удалить их очень легко.

Кстати, есть много способов удалить их, и один из них, о котором все знают, заключается в том, что мы должны держать антивирус на своем компьютере, чтобы наш компьютер мог избежать вирусной атаки.

Многие антивирусы бесплатны, а некоторые платные, которые нужно покупать.

Кстати, вы также можете воспользоваться бесплатной, если не хотите брать платную версию.

Но часто случается, что из-за меньшего объема ОЗУ и хранилища мы не можем установить антивирусное программное обеспечение.

В такой ситуации вы думаете, как было бы здорово, если бы вы могли удалить вирус со своего компьютера без какого-либо антивируса, насколько это было бы круто.

Итак, друзья, сегодня в этом посте мы узнаем, как мы можем удалять вирусы с наших компьютеров без помощи какого-либо антивирусного программного обеспечения.

С помощью диспетчера задач:

С помощью диспетчера задач

Используя этот метод, вы можете избавиться от вируса без использования антивируса, выполнив простые действия.

Этот метод остановит все связанные с вирусами программы, запущенные на вашем ПК или ноутбуке, и остановит распространение вируса на вашем устройстве.

Для этого метода вам нужно будет выполнить следующие действия:

Следуя этой простой встроенной функции на вашем ПК или ноутбуке, вы сможете удалить вирус со своего компьютера без антивируса.

При использовании автозагрузки Windows:

При использовании автозагрузки Windows

Еще один способ удалить вирус с вашего компьютера без антивируса — отключить незнакомые и странные процессы при запуске Windows.

Это останавливает вредоносный вирус от заражения вашего компьютера.

Для этого вам нужно выполнить следующие простые шаги:

Таким образом вы сможете избавиться от вирусов и других вредоносных программ.

Windows Defender на вашем ноутбуке имеет встроенную функцию защиты от вирусов и угроз.

Эта функция очень удобна при удалении вируса без антивируса.

Для этого вам необходимо выполнить следующие шаги, т.е.:

После этого Защитник Windows автоматически просканирует все файлы на наличие вирусов и вредоносных программ, и, если он их обнаружит, запросит у вас разрешение на их удаление, и сделайте так, как вас просят.

После этого он удалит с вашего компьютера все вредоносные программы и вирусы.

Вы также можете удалить уже существующие вирусы с вашего компьютера без антивируса с помощью этой функции.

Для этого выполните следующие действия:

Выполнив эти шаги, вы можете перезагрузить компьютер, и все готово.

Ваш компьютер будет освобожден от всех вредоносных программ и вирусов.

Брандмауэром Защитника Windows:

Брандмауэром Защитника Windows

Эта особенность предотвращает заражение вашего ПК или ноутбука от новых вирусов.

Чтобы использовать эту функцию, вы должны выполнить следующие действия:

Используя командную строку:

Используя командную строку

Еще один удобный ответ на ваш вопрос об удалении вируса без антивируса — использование командной строки.

Для этого все, что вам нужно сделать, это:

Отметив недавно установленное программное обеспечение и приложения:

Иногда новое установленное приложение или программное обеспечение само заражается вирусом, который может еще больше заразить ваш компьютер или ноутбук.

Лучше проверить эти приложения и программное обеспечение, чтобы удалить вирус без антивирусной программы.

Для этого все, что вам нужно сделать, это:

Это позволит вам удалить вирус с вашего компьютера без антивируса.

Используя безопасный режим:

Другой вариант удаления вируса без антивируса — использование безопасного режима на вашем компьютере.

Эта функция полезна, поскольку она позволяет обнаруживать даже самые серьезные вредоносные вирусы и вредоносные программы, которые не могут быть обнаружены и удалены диспетчером задач.

Для этого вам необходимо выполнить следующие шаги:

Эта функция позволит вам удалить вирус без антивируса, если диспетчер задач не сможет этого сделать.

Удалив ключи реестра:

Удалив ключи реестра

Эта функция позволит вам удалить ключи реестра, созданные вирусом, что позволит вам удалить ПО и вирус с вашего компьютера без антивируса.

Чтобы использовать эту особенность, вы должны выполнить следующие шаги:

Эта функция позволит вам избавиться от вирусов без использования антивируса.

Удалив файлы, зараженные вирусом:

Эта функция позволит вам удалить файл, в котором скрыт вирус, перейдя в его каталог.

С помощью онлайн-сканера:

Еще один полезный способ удалить вирус с вашего компьютера без использования антивируса — использовать онлайн-сканер вирусов.

Хотя он отличается от всех перечисленных выше методов, которые в основном встроены в функции вашего ПК или ноутбука, но он может помочь вам удалить вирус с вашего компьютера, не тратя большие деньги на антивирусную программу.

Существует большое количество онлайн-антивирусных сканеров, которые могут помочь вам удалить вирус с вашего компьютера без антивируса.

Некоторые из этих сканеров перечислены ниже.

  1. Онлайн-сканер Virustotal;
  2. Онлайн-сканер Metadefender;
  3. Онлайн-сканер VirusScan.

Удаление вируса с помощью онлайн-сканера включает следующие простые шаги:

  • Прежде всего, посетите веб-сайт онлайн-сканера из предпочитаемого веб-браузера;
  • Теперь вам нужно выбрать файл, который вы хотите просканировать на наличие вирусов со своего компьютера или ноутбука, и нажать кнопку сканирования, присутствующую в онлайн-сканере;
  • Далее вам нужно подождать несколько секунд, пока сканер завершит сканирование выбранных файлов;
  • Потом сканер покажет вам полные результаты сканирования, а также тип файла и имя сканера;
  • Теперь вы можете удалить все файлы, зараженные вирусами и вредоносными программами.

Заключение

Хотя также доступно множество бесплатных антивирусных программ, они не обеспечивают такой защиты, как платные.

В этой статье обобщены все встроенные функции вашего ПК или ноутбука, позволяющие удалить вирус без использования антивируса, например диспетчер задач, автозапуск Windows, Защитник Windows, брандмауэр, командная строка.

Кроме того, есть несколько более простых онлайн-вариантов удаления вируса без использования антивируса, например, онлайн-сканеры вирусов.

Итак, если вы ищете ответ на вопрос, как я могу удалить вирус с моего компьютера без антивируса, вы должны прочитать эту статью.

Это сэкономит ваше время и деньги, и вы сможете легко очистить свой компьютер или ноутбук от вирусов, не используя антивирус.

Восстановление работоспособности Windows 7 после вирусного заражения.

    Речь пойдет о простейших способах нейтрализации вирусов, в частности, блокирующих рабочий стол пользователя Windows 7 (семейство вирусов Trojan.Winlock). Подобные вирусы отличаются тем, что не скрывают своего присутствия в системе, а наоборот, демонстрируют его, максимально затрудняя выполнение каких-либо действий, кроме ввода специального "кода разблокировки", для получения которого, якобы, требуется перечислить некоторую сумму злоумышленникам через отправку СМС или пополнение счета мобильного телефона через платежный терминал. Цель здесь одна - заставить пользователя платить, причем иногда довольно приличные деньги. На экран выводится окно с грозным предупреждением о блокировке компьютера за использование нелицензионного программного обеспечения или посещение нежелательных сайтов, и еще что-то в этом роде, как правило, чтобы напугать пользователя. Кроме этого, вирус не позволяет выполнить какие либо действия в рабочей среде Windows - блокирует нажатие специальных комбинаций клавиш для вызова меню кнопки "Пуск", команды "Выполнить" , диспетчера задач и т.п. Указатель мышки невозможно переместить за пределы окна вируса. Как правило, эта же картина наблюдается и при загрузке Windows в безопасном режиме. Ситуация кажется безвыходной, особенно если нет другого компьютера, возможности загрузки в другой операционной системе, или со сменного носителя (LIVE CD, ERD Commander, антивирусный сканер). Но, тем не менее, выход в подавляющем большинстве случаев есть.

    Новые технологии, реализованные в Windows Vista / Windows 7 значительно затруднили внедрение и взятие системы под полный контроль вредоносными программами, а также предоставили пользователям дополнительные возможности относительно просто от них избавиться, даже не имея антивирусного программного обеспечения (ПО). Речь идет о возможности загрузки системы в безопасном режиме с поддержкой командной строки и запуска из нее программных средств контроля и восстановления. Очевидно, по привычке, из-за довольно убогой реализации этого режима в предшествующих версиях операционных систем семейства Windows, многие пользователи просто им не пользуются. А зря. В командной строке Windows 7 нет привычного рабочего стола (который может быть заблокирован вирусом), но есть возможность запустить большинство программ - редактор реестра, диспетчер задач, утилиту восстановления системы и т.п.

Удаление вируса с помощью отката системы на точку восстановления

    Вирус - это обычная программа, и если даже она находится на жестком диске компьютера, но не имеет возможности автоматически стартовать при загрузке системы и регистрации пользователя, то она так же безобидна, как, например, обычный текстовый файл. Если решить проблему блокировки автоматического запуска вредоносной программы, то задачу избавления от вредоносного ПО можно считать выполненной. Основной способ автоматического запуска, используемый вирусами - это специально созданные записи в реестре, создаваемые при внедрении в систему. Если удалить эти записи - вирус можно считать обезвреженным. Самый простой способ - это выполнить восстановление системы по данным контрольной точки. Контрольная точка - это копия важных системных файлов, хранящаяся в специальном каталоге ("System Volume Information") и содержащих, кроме всего прочего, копии файлов системного реестра Windows. Выполнение отката системы на точку восстановления, дата создания которой предшествует вирусному заражению, позволяет получить состояние системного реестра без тех записей, которые сделаны внедрившимся вирусом и тем самым, исключить его автоматический старт, т.е. избавиться от заражения даже без использования антивирусного ПО. Таким способом можно просто и быстро избавиться от заражения системы большинством вирусов, в том числе и тех, что выполняют блокировку рабочего стола Windows. Естественно, вирус-блокировщик, использующий например, модификацию загрузочных секторов жесткого диска (вирус MBRLock ) таким способом удален быть не может, поскольку откат системы на точку восстановления не затрагивает загрузочные записи дисков, да и загрузить Windows в безопасном режиме с поддержкой командной строки не удастся, поскольку вирус загружается еще до загрузчика Windows . Для избавления от такого заражения придется выполнять загрузку с другого носителя и восстанавливать зараженные загрузочные записи. Но подобных вирусов относительно немного и в большинстве случаев, избавиться от заразы можно откатом системы на точку восстановления.

1. В самом начале загрузки нажать кнопку F8 . На экране отобразится меню загрузчика Windows, с возможными вариантами загрузки системы

Меню выбора вариантов загрузки Windows 7

2. Выбрать вариант загрузки Windows - "Безопасный режим с поддержкой командной строки"

После завершения загрузки и регистрации пользователя вместо привычного рабочего стола Windows, будет отображаться окно командного процессора cmd.exe

Командная строка Windows 7

3. Запустить средство "Восстановление системы", для чего в командной строке нужно набрать rstrui.exe и нажать ENTER .

Восстановление системы Windows 7

Далее пользователь должен выбрать необходимую точку восстановления. Рекомендуемая Windows точка восстановления может не подойти, поэтому лучше всего получить их полный список

- переключить режим на "Выбрать другую точку восстановления" и в следующем окне установить галочку "Показать другие точки восстановления"

Выбор точки восстановление системы Windows 7

После выбора точки восстановления Windows, можно посмотреть список затрагиваемых программ при откате системы:

Выбранная точка восстановления системы Windows 7

Список затрагиваемых программ, - это список программ, которые были установлены после создания точки восстановления системы и которые могут потребовать переустановки, поскольку в реестре будут отсутствовать связанные с ними записи.

После нажатия на кнопку "Готово" начнется процесс восстановления системы. По его завершению будет выполнена перезагрузка Windows.


Удаление вируса без отката системы на точку восстановления

    Возможна ситуация, когда в системе отсутствуют, по разным причинам, данные точек восстановления, процедура восстановления завершилась с ошибкой, или откат не дал положительного результата. В таком случае, можно воспользоваться диагностической утилитой Конфигурирования системы MSCONFIG.EXE . Как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки и в окне интерпретатора командной строки cmd.exe набрать msconfig.exe и нажать ENTER

Утилита конфигурирования Windows 7 msconfig.exe

На вкладке "Общие" можно выбрать следующие режимы запуска Windows:

Обычный запуск - обычная загрузка системы.
Диагностический запуск - при загрузке системы будет выполнен запуск только минимально необходимых системных служб и пользовательских программ.
Выборочный запуск - позволяет задать в ручном режиме перечень системных служб и программ пользователя, которые будут запущены в процессе загрузки.

Для устранения вируса наиболее просто воспользоваться диагностическим запуском, когда утилита сама определит набор автоматически запускающихся программ. Если в таком режиме блокировка рабочего стола вирусом прекратится, то нужно перейти к следующему этапу - определить, какая же из программ является вирусом. Для этого можно воспользоваться режимом выборочного запуска, позволяющим включать или выключать запуск отдельных программ в ручном режиме.

Вкладка "Службы" позволяет включить или выключить запуск системных служб, в настройках которых установлен тип запуска "Автоматически" . Снятая галочка перед названием службы означает, что она не будет запущена в процессе загрузки системы. В нижней части окна утилиты MSCONFIG имеется поле для установки режима "Не отображать службы Майкрософт" , при включении которого будут отображаться только службы сторонних производителей.

Утилита конфигурирования служб Windows 7 msconfig.exe

Замечу, что вероятность заражения системы вирусом, который инсталлирован в качестве системной службы, при стандартных настройках безопасности в среде Windows Vista / Windows 7, очень невелика, и следы вируса придется искать в списке автоматически запускающихся программ пользователей (вкладка "Автозагрузка").

Утилита конфигурирования автозагрузки Windows 7 msconfig.exe

Так же, как и на вкладке "Службы", можно включить или выключить автоматический запуск любой программы, присутствующей в списке, отображаемом MSCONFIG. Если вирус активизируется в системе путем автоматического запуска с использованием специальных ключей реестра или содержимого папки "Автозагрузка", то c помощью msconfig можно не только обезвредить его, но и определить путь и имя зараженного файла.

Утилита msconfig является простым и удобным средством конфигурирования автоматического запуска служб и приложений, которые запускаются стандартным образом для операционных систем семейства Windows. Однако, авторы вирусов нередко используют приемы, позволяющие запускать вредоносные программы без использования стандартных точек автозапуска. Избавиться от такого вируса с большой долей вероятности можно описанным выше способом отката системы на точку восстановления. Если же откат невозможен и использование msconfig не привело к положительному результату, можно воспользоваться прямым редактированием реестра.

    В процессе борьбы с вирусом пользователю нередко приходится выполнять жесткую перезагрузку сбросом (Reset) или выключением питания. Это может привести к ситуации, когда загрузка системы начинается нормально, но не доходит до регистрации пользователя. Компьютер "висит" из-за нарушения логической структуры данных в некоторых системных файлах, возникающей при некорректном завершении работы. Для решения проблемы так же, как и в предыдущих случаях, можно загрузиться в безопасном режиме с поддержкой командной строки и выполнить команду проверки системного диска

chkdsk C: /F - выполнить проверку диска C: с исправлением обнаруженных ошибок (ключ /F)


Устранение возможности запуска вируса с помощью редактора реестра.

    Для запуска редактора реестра, как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки, в окне интерпретатора командной строки набрать regedit.exe и нажать ENTER     Windows 7, при стандартных настройках безопасности системы, защищена от многих методов запуска вредоносных программ, применявшихся для предыдущих версий операционных систем от Майкрософт . Установка вирусами своих драйверов и служб, перенастройка службы WINLOGON с подключением собственных исполняемых модулей, исправление ключей реестра, имеющих отношение ко всем пользователям и т.п - все эти методы в среде Windows 7 либо не работают, либо требуют настолько серьезных трудозатрат, что практически не встречаются. Как правило, изменения в реестре, обеспечивающие запуск вируса, выполняются только в контексте разрешений, существующих для текущего пользователя, т.е. в разделе HKEY_CURRENT_USER

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - для всех пользователей.
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - для текущего пользователя.

Параметр Shell представляет собой строку с именем программы, которая будет использоваться в качестве оболочки при входе пользователя в систему. Обычно в разделе для текущего пользователя (HKEY_CURRENT_USER или сокращенно - HKCU) параметр Shell отсутствует и используется значение из раздела реестра для всех пользователей (HKLM\ или в сокращенном виде - HKLM)

Так выглядит раздел реестра HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon при стандартной установке Windows 7

Параметр Shell в HKCU отсутствует

Если же в данный раздел добавить строковый параметр Shell принимающий значение "cmd.exe", то при следующем входе текущего пользователя в систему вместо стандартной оболочки пользователя на основе проводника будет запущена оболочка cmd.exe и вместо привычного рабочего стола Windows, будет отображаться окно командной строки .

Параметр Shell в HKCU отсутствует

Естественно, подобным образом может быть запущена любая вредоносная программа и пользователь получит вместо рабочего стола порнобаннер, блокировщик и прочую гадость.
Для внесения изменений в раздел для всех пользователей (HKLM. . . ) требуется наличие административных привилегий, поэтому вирусные программы, как правило модифицируют параметры раздела реестра текущего пользователя (HKCU . . .)

Если, в продолжение эксперимента, запустить утилиту msconfig , то можно убедиться, что в списках автоматически запускаемых программ cmd.exe в качестве оболочки пользователя отсутствует. Откат системы, естественно, позволит вернуть исходное состояние реестра и избавиться от автоматического старта вируса, но если он по каким-либо причинам, невозможен - остается только прямое редактирование реестра. Для возврата к стандартному рабочему столу достаточно удалить параметр Shell , или изменить его значение с "cmd.exe" на "explorer.exe" и выполнить перерегистрацию пользователя (выйти из системы и снова войти) или перезагрузку. Редактирование реестра можно выполнить, запустив из командной строки редактор реестра regedit.exe или воспользоваться консольной утилитой REG.EXE . Пример командной строки для удаления параметра Shell:

REG delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

Приведенный пример с подменой оболочки пользователя, на сегодняшний день является одним из наиболее распространенных приемов, используемых вирусами в среде операционной системы Windows 7 . Довольно высокий уровень безопасности при стандартных настройках системы не позволяет вредоносным программам получать доступ к разделам реестра, которые использовались для заражения в Windows XP и более ранних версий . Даже если текущий пользователь является членом группы "Администраторы", доступ к подавляющему количеству параметров реестра, используемых для заражения, требует запуск программы от имени администратора. Именно по этой причине вредоносные программы модифицируют ключи реестра, доступ к которым разрешен текущему пользователю (раздел HKCU . . . ) Второй важный фактор - сложность реализации записи файлов программ в системные каталоги. Именно по этой причине большинство вирусов в среде Windows 7 используют запуск исполняемых файлов (.exe ) из каталога временных файлов (Temp) текущего пользователя. При анализе точек автоматического запуска программ в реестре, в первую очередь нужно обращать внимание на программы, находящиеся в каталоге временных файлов. Обычно это каталог C:\USERS\имя пользователя\AppData\Local\Temp . Точный путь каталога временных файлов можно посмотреть через панель управления в свойствах системы - "Переменные среды". Или в командной строке:

set temp
или
echo %temp%

Кроме того, поиск в реестре по строке соответствующей имени каталога для временных файлов или переменной %TEMP% можно использовать в качестве дополнительного средства для обнаружения вирусов. Легальные программы никогда не выполняют автоматический запуск из каталога TEMP.

Простейшие способы удаления блокировщиков семейства MBRLock

bootsect /nt60 /mbr буква системного диска:

bootsect /nt60 /mbr E:> - восстановить загрузочные секторы диска E: Здесь должна использоваться буква для того диска, который используется в качестве устройства загрузки поврежденной вирусом системы.

или для Windows, предшествующих Windows Vista

bootsect /nt52 /mbr буква системного диска:

Утилита bootsect.exe может находиться не только в системных каталогах, но и на любом съемном носителе, может выполняться в среде любой операционной системы семейства Windows и позволяет восстановить программный код загрузочных секторов, не затрагивая таблицу разделов и файловую систему. Ключ /mbr, как правило, не нужен, поскольку восстанавливает программный код главной загрузочной записи MBR, которую вирусы не модифицируют (возможно - пока не модифицируют).

Читайте также: