Это будет большая статья о том как разблокировать Ваш компьютер. В этой статье будет три вариант один из которых Вам точно поможет разблокировать windows.

1  Вариант

Самый просто способ вылечить свой компьютер при заражении его “баннерным вирусом”  это проделать следующие шаги по восстановлению системы на  рабочее состояние, делать будем так:

1. Перезагружаем компьютер в Безопасном режиме с поддержкой командной строки
2. В командной строке введите команду c:\WINDOWS\system32\Restore\rstrui
3. При запуске окна с восстановлением windows выбираем дату на которую Мы хотим восстановить наш Windows жмем далее и ждем некоторое время пока он перезагрузит компьютер и восстановит его на выбранный вами период (дату восстановления лучше выбирать не больше недели назад от инцидента)
   [youtube url=”http://www.youtube.com/watch?v=9V2-B912QwE” width=”500″ height=”300″]
4. Но этот метод как самый простой и действенный имеет свои недостатки, так например если у Вас изначально не было включено “Восстановление системы” , то при вводе команды c:\WINDOWS\system32\Restore\rstrui  Вы получите ошибку:

Восстановление системы отключено и не может быть запущено в безопасном режиме. Для восстановления системы перезагрузите компьютер в нормальном режиме и запустите восстановление системы.”

Этот способ увы не для Вас 🙁  Но это не конец света, потому как Мы переходим к Варианту 2

2 вариант

Сегодня утром принесли ноутбук на котором при загрузке сразу появлялось окно о том что, windows заблокирован. Этот trojan winlock не такой как был раньше т.е. в котором надо было вводить код (его можно было получить на сайтах касперского и drweb). Но не будем вдаваться в теорию, а сразу перейдем к практике, т.е. к удалению этой гадости.

1. 1. изначально мы имеем winlock который заблокировал комп с таким текстом:

windows заблокирован!

Microsoft Security обнаружил нарушение использования сети интернет Причина: Вы смотрели фильм содержащий гей-порно. для разблокировки Windows необходимо: пополнить номер абонента Билайн 8-963-666-94-10 на сумму 400 рублей Оплатить можно через терминал для оплаты сотовой связи После оплаты, на выданном терминальном чеке. Вы найдете Ваш  персональный код разблокировки, который необходимо ввести ниже.

Наши дальнейшие действия такие:

1. перезагрузите компьютер в Безопасном режиме с поддержкой командной строки
2. как компьютер загрузится и увидите командную строку введите regedit и у Вас запускается редактор реестра
3. В реестре ищем пункт HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
4. и в нем ищем строку Shell и проверяем что у нас там была только одна запись Explorer.exe (т.е. все что там есть Explorer.exe удаляем!!!)
5. Далее перегружаем комп и радуемся загруженной винде

[youtube url=”http://www.youtube.com/watch?v=PMkAqvlaCU4″ width=”500″ height=”300″]

 какие могут быть проблемы если этот вариант не сработал:

1. Если Вы все сделали как я написал, но ни чего не происходит, то проверьте в этой же ветки реестра пункт Userinit  в нем должна быть только одна запись: C:\Windows\system32\userinit.exe,  (все что там есть удаляем)
2. Если же опять не сработало, то нужно сравнить файл userinit.exe на зараженном компе с файлом на рабочем компе, бывает так что другая модификация вируса подменяла файл userinit.exe и Explorer.exe . Сверять нужно с компа на котором стоит такая же операционная система (допустим Windows xp SP3 стоит на компе который поймал вирус и сравниваем файлы с рабочего компа на котором стоит тоже  Windows xp SP3). Для того что бы у Вас в безопасном режиме с поддержкой командной строки загрузился рабочий стол в консоли(где до этого вводили команду regedit) вводим команду explorer  , а далее ищем файлы userinit.exe который находится в директории  C:\Windows\System32\ и сверяем файлы по размеру и дате создания.

– если все таки Вы поняли что эти файлы у вас были подменены, то я решал данную проблему так:

1) эти два файла можно было взять из директории  C:\Windows\System32\dllcache либо если у Вас есть диск с windows с которого была установлена эта операционная система, то он там находится в папке  I386 (под именем userinit.ex_ либо прямо как есть userinit.exe)

2) заменяете файлы и перезагружаете систему.

Очень надеюсь что у Вас все получилось через правку в реестре и Вам не пришлось копаться с заменами файлов, просто бывают разные ситуации и я сразу решил описать все способы.

3 Вариант

Если вы словили смс банер вымогающий денюжку “за просмотр и тиражирование детской порнографии”. Этот вид банера кардинально отличается от того который я описывал в Варианте 1, хотя и методы удаления частично похожы

текст баннера такой:

Компьютер заблокирован

Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей на номер телефона Билайн 89037310755 . В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет  напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку  «Разблокировать». После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течение 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч. 1 УК РФ. Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.

Удаление  этого баннера как я писал выше по первому варианту не получилось, ну это и хорошо, потому как этот способ очень легкий и простой.

Лидеры антивирусных продуктов такие как dr.web и Касперский быстро среагировали на данную ситуацию и предоставили пользователям свою помощь в удалении данной модификации баннерного вируса с компьютеров.

1. Заходим на сайт dr.web https://www.drweb.com/xperf/unlocker/ и вводим в строку номер кошелька или телефон куда Вас просят положить деньги либо ищем в ручную баннер из списка (для этого нажмите на ссылку изображения)
2. Если Вашего кода нету на сайте dr.web, то заходим на сайт  Касперского  http://sms.kaspersky.ru/ и скачиваем утилиту Kaspersky WindowsUnlocker по адресу http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

4 вариант

Есть разновидность этой гадости которая после попытки самолечения компьютера запускает второй вирус который перезаписывает загрузочную область диска и после перезагрузки Вы увидите на черном экране след текст :

Which Windows installation would you like to log onto (To cancel, press ENTER) and I type 1 (либо смотри картинку ниже)

Данная гадость тоже лечить, но в этом Вам поможет моя другая статья на тему – Как восстановить загрузчик windows

Как защититься от Trojan.Winlock?!?

Для защиты от данной проблемы, да и от проблем вообще с компом я могу дать много, но самые Важные которые нужно соблюдать для максимальной защиты компьютера это:

1. Лицензионная копия Windows -Желательно что бы операционная система у Вас была установлена на компьютер без разных сторонних твиков и дополнений, лучше использовать диск лицензионной копии на которой кроме windows ни чего нету (т.е. те которые продаются в магазинах).
2. Антивирус – к антивирусам я отношусь очень серьезно и за все года для меня был зарекомендован только один бренд, это Касперский. Да он подтормаживает иногда комп, но он и отрабатывает свои минусы с лихвой!
3. Не скачивать программы с неизвестных сайтов – кряки, активации, аудио книги, игры и прочую фигню люди не заморачиваясь начинают искать просто вбив запрос в яндекс или гугл и кликать на все кнопки где написано “скачать” . Мой совет и я себя уже и своих всех тоже приучил, если что то хотите скачать, то используйте торенты, я использую rutracker или nnm-club там хоть на половину можно быть спокойным что софт там проверенный.

Ну а на последок скажу так, что 90% компьютерных ошибок сидят в 50 см от монитора. Будьте бдительны и осторожны и у Вас ни когда не будет проблем. Всем удачи и пишите Ваши вопросы если не получилось разблокировать windows, будем разбираться вместе.