Вивчаємо способи розблокування windows xp

Блокування Windows XP троянами-вимагачами

Якщо запустивши один раз невідому програму, ваш комп`ютер перестає реагувати на команди, а робочий стіл приймає характерний вигляд:

або

а можливо

значить, ви стали черговою жертвою Trojan.WinLock або просто - трояна-здирника, що змушує вас заплатити зловмисникові певну грошову суму за можливість користуватися своїм ПК. Ситуація нерідка, хоча пік епідемії блокувальників Windows вже пройшов. За час існування цього способу вимагання накопичено чималий досвід виявлення і «лікування» заражень такого роду, але, тим не менш, методи блокування Віндовс зловмисники удосконалюють досі.

Треба сказати, що не дивлячись на погрози знищення даних на ПК в разі несплати «штрафу», нічого подібного ніколи не відбувається. І при вмілому підході будь-яку блокування можна досить швидко зняти, не вдаючись до перевстановлення системи. Тому, побачивши на екрані грізний банер «Комп`ютер заблокований», не поспішайте переводити кібер злочинцеві гроші - ніякого коду для розблокування ви не отримаєте.

Щоб ви не відчували себе безпорадними в подібній ситуації, ми підготували для вас опис методів роботи троянів-вимагачів і декілька способів боротьби з ними.

Види блокування системи

Перерахуємо методи, за допомогою яких зазвичай здійснюється блокування комп`ютера під керуванням Windows XP.

• Модифікація головного завантажувального запису (MBR), яка, якщо ви пам`ятаєте, займає перший сектор жорсткого диска. При цьому завантажувальний код перезаписується або переміщається в інше місце, а замість нього, практично відразу після включення ПК, управління отримує шкідлива програма. Цей різновид вимагачів отримала назву Trojan.MBRlock.
• Блокування робочого столу шляхом модифікації системного реєстру, а точніше, його областей, відповідальних за запуск Windows і автоматичний старт додатків. При цьому або замість системних файлів, або разом з ними запускається троянська програма.
• Перезапис (патчінга) файлів, критично важливих для завантаження Windows. При такому методі блокування немає навіть необхідності модифікувати реєстр, адже шкідливий код, записаний в системні файли, отримає управління в будь-якому випадку, а виявити блокувальник буде набагато складніше. Зазвичай «під роздачу» потрапляють Userinit.exe, Explorer.exe, LogonUI.exe, Taskmgr.exe, а іноді і деякі інші.
• Існує і такий спосіб блокування Windows, як заборона на запуск будь-якої програми і виконання будь-яких дій на комп`ютері, крім прочитання повідомлення з вимогами вимагача. Повідомлення при цьому можна вільно закрити, але працювати на ПК все одно не можна - спроби що-небудь робити будуть «заборонені адміністратором». Віндовс виявляється заблокований через групові політики. За такому принципу працює вимагач Trojan-Ransom.Win32.Krotten (за класифікацією Лабораторії Касперського).

Крім перерахованих «чистих» видів блокування, зустрічаються і більш витончені, що поєднують в собі відразу кілька способів автозапуску троянського коду. Наприклад, зміни в реєстрі і патчінга системних файлів, а також - розміщення на жорсткому диску декількох копій трояна, здатних відновлювати один одного.

Улюбленими місцями розташування троянських файлів в Windows XP є ці директорії:

C: Documents and Settings Поточний користувач Local Settings Application Data
C: Documents and Settings All Users Local Settings Application Data
C: Documents and Settings Поточний користувач Local Settings Temporary Internet Files
C: Documents and Settings All Users Local Settings Temporary Internet Files
C: Documents and Settings Поточний користувач Local Settings Temp
C: Documents and Settings All Users Local Settings Temp
C: Windows
C: Windows Temp
C: Windows System32
C: Documents and Settings Поточний користувач Головне меню Програми Автозавантаження
C: Documents and Settings All Users Головне меню Програми Автозавантаження

А автозапуск зазвичай здійснюється за допомогою записів в наступні розділи реєстру:

HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion RunOnce
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion RunOnceEx
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion RunServices
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon
HKEY_CURRENT_USER SOFTWARE Microsoft Windows NT CurrentVersion Winlogon
Параметри: Userinit, UIHost, Shell.
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Image File Execution Options userinit.exe
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Image File Execution Options explorer.exe
параметр Debugger
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Windows
параметр AppInit_DLLs

Що робити якщо Windows XP заблокований?

Більшість блокувальників працюють не тільки в нормальному режимі, але і в безпечному, а в деяких випадках вони просто відключають можливість завантаження безпечного режиму, видаливши відповідальні за це розділи реєстру. Тому, якщо у вас заблокувався Windows XP, вирішувати проблему доведеться за допомогою альтернативних завантажувальних носіїв - так званих «живих» дисків (Live CD) з власною операційною системою. Завантаживши комп`ютер з такого носія, ви зможете отримати доступ до жорсткого диска, який виявився заблокований. Далі ми розберемо, як працювати з Live CD, а поки спробуємо більш прості способи, які хоч і не завжди, але в багатьох випадках виручають.

Найпростіший метод зняття блокування комп`ютера

Цей спосіб був виявлений користувачами експериментальним шляхом. У випадках складної блокування він навряд чи допоможе, але спробувати все одно варто, тим більше, що всі дії займуть у вас не більше 5 хвилин.

• Побачивши на екрані банер «Windows заблокований», перезавантажте комп`ютер і перед стартом системи зайдіть в настройки BIOS Setup. На першій же вкладці «Main» (в Avard BIOS - пункт меню «Standart CMOS Feature») переведіть системну дату на 2 - 3 роки вперед або назад. Для виходу зі збереженням налаштувань натисніть F10 і «Y».

• Завантажте Віндовс, якщо банера на робочому столі немає, скачайте безкоштовну антивірусну утиліту, наприклад, Kaspersky Virus Removal Toolабо Dr.Web CureIt! і проведіть сканування. Навіщо завантажувати ці програми, якщо антивірус у вас вже є? Потім, що через зміну дати, він, найімовірніше, не працює.
• Після видалення трояна ще раз зайдіть в настройки BIOS і поверніть колишню дату. Усе.

Онлайн-сервіси антивірусних компаній для розблокування Віндовс

Якщо попередні дії не допомогли вам впоратися з банером «Комп`ютер заблокований», можна спробувати підібрати код розблокування за допомогою онлайн-сервісів антивірусних компаній. Цей варіант допомагає в 50 - 70% випадків, але він буде вам корисний тільки тоді, коли у вас є інший ПК (телефон, планшет і т. П.) З виходом в Інтернет. Нижче наводяться посилання і інструкції по використанню цих сервісів.

Сервіс деактивації Trojan.WinLosk «Лабораторії Касперського»

• Перепишіть текст повідомлення вимагача, яке ви бачите на екрані, і вставте його в відповідне поле.
• У сусіднє поле впишіть номер телефону, вказаний в повідомленні, на який з вас вимагають перевести гроші.
• Натисніть кнопку «Отримати код розблокування» і спробуйте з його допомогою видалити банер.
• Після входу в Windows проведіть антивірусне сканування ПК, оскільки файл трояна-блокувальника і раніше знаходиться в системі і може заблокувати її повторно.

Сервіс розблокування ПК від Dr.Web

• Впишіть номер телефону або гаманця вимагача в відповідне поле і натисніть кнопку «Шукати коди».
• Якщо нічого запропоновано не буде, можете спробувати знайти відповідний код за зовнішнім виглядом банера.
• Після розблокування проскануйте комп`ютер на віруси.

Сервіс розблокування Windows від Eset

• Впишіть у відповідні поля текст повідомлення з банера «Віндовс заблокований» і номер зазначеного там телефону.
• Натисніть кнопку «Відправити» і спробуйте скористатися запропонованими кодами.
• Після того, як ваш комп`ютер розблокується, проскануйте його на віруси.

Засоби автоматичного розблокування ПК

Якщо попередні заходи не мали ніякого дії і ваш ПК як і раніше заблокований, видалити банер можна за допомогою спеціалізованих програм на завантажувальних дисках (Live CD). Нижче наведені інструменти, що дозволяють автоматично зняти блокування Windows XP і ліквідувати троянську програму.

AntiSMS

Повністю автоматична утиліта, виліковує всі відомі модифікації троянів-вимагачів і відновлює стандартні настройки завантаження системи. Рекомендується для початківців користувачів, недосвідчених в адмініструванні ПК. Всю роботу програма виконує приховано, а запускається подвійним кліком по ярлику на робочому столі завантажувального носія.

AntiWinLockerLiveCD

Ще один завантажувальний диск, здатний допомогти, якщо ваш Windows XP раптом заблокувався. Утиліта в автоматичному режимі знайде і видалить троянську програму, а також відновить пошкоджені файли і системний реєстр. На комерційній основі AntiWinLocker можна використовувати і для захисту Віндовс від блокувальників, встановивши на комп`ютер.

Для видалення банера з допомогою цієї програми буде потрібно мінімум дій:

• завантажити з AntiWinLockerLiveCD, прийміть ліцензійну угоду і натисніть кнопку «Старт»;

• виберіть з меню пункт «Автоматичний запуск»;

• погодьтеся на пропозицію заміни файлів (якщо буде), зазначивши їх у списку і натиснувши «Виконати»;

• після завершення роботи програми запустіть комп`ютер з жорсткого диска - блокування буде знято.

WindowsUnlocker від «Лабораторії Касперського» (Kaspersky Rescue Disk 10)

Потужний засіб лікування будь-яких вірусів від Лабораторії Касперського. Простий у використанні завантажувальний диск просканує вашу систему і усуне будь-які перешкоди для її завантаження.

Управління диском інтуїтивно зрозуміло навіть новачкові.

• Запустіть Kaspersky Rescue Disk, відзначте області сканування як на картинці і натисніть «Виконати перевірку об`єктів».
• Після лікування перезавантажте комп`ютер - від блокувальника не залишиться і сліду.

Dr.Web Live CD

Ще один універсальний інструмент, здатний допомогти не тільки у випадках, коли комп`ютер заблокований, а й за будь-яких вірусних заражених. Оснащений функцією оновлення вірусних баз через Інтернет.

Для використання досить запустити з робочого столу сканер, вибрати область сканування і натиснути «Почати перевірку».

LiveCD ESET NOD32

Не менш простий у використанні інструмент, ніж попередні. Також дозволяє з легкістю вирішувати різні вірусні проблеми на ПК, в тому числі і тоді, коли вхід в Windows XP виявився заблокований. Володіє можливістю «інтелектуального сканування», корисного для пошуку невідомих шкідливих об`єктів.

Ручне розблокування Windows XP при завантаженні з Live CD

Тепер розглянемо ручні способи видалення шкідливого коду, що заважає завантаженні Windows XP. Для того, щоб їх використовувати, необхідно бути щонайменше досвідченим користувачем ПК, інакше проблем після спроб видалення банера може бути більше, ніж було спочатку. Для першого способу лікування комп`ютера за допомогою професійної утиліти Universal Virus Sniffer (UVS) нам знадобиться будь-який завантажувальний диск на базі OS Windows. Ми скористаємося Alkid Live CD.

Alkid Live CD і uVS

Цей спосіб, можна сказати, найбільш трудомісткий, оскільки всі операції доведеться виконувати вручну. Однак в екстремальних ситуаціях, коли рідний Windows XP заблокувався, вибирати не доводиться, і ми будемо використовувати те, що є під рукою. Отже, приступимо.

• Скачайте на іншому комп`ютері і розпакуйте на флешку програму uVS (якщо немає іншого ПК, це можна зробити і на Alkid Live CD після настройки підключення до Інтернету).
• Підключіть флешку до заблокованого комп`ютера.
• Завантажте Alkid Live CD.
• Запустіть файл start.exe з каталогу uVS (який в нашому випадку знаходиться за адресою F: uvs).
• у вікні «Режим запуску» натисніть кнопку «Вибрати каталог Windows» і перейдіть в провіднику до папки Windows вашої заблокованою системи. Натисніть «ОК».
• Клацніть "Запустити під поточним користувачем».

• Після сканування перед вами відкриється список підозрілих файлів, і ось він на видному місці - наш троян-здирник.

• Щоб вивчити докладні відомості про цей файл, клікніть по ньому двічі - відкриється вікно, де крім іншого буде вказано спосіб його автозапуску. У нашому випадку це ключ реєстру, який запускає провідник Windows (explorer.exe).

• Тепер переходимо до видалення трояна і відновленню нормального запуску Windows. Закрийте вікно властивостей і клікніть по файлу правою кнопкою миші. Виберіть в контекстному меню команду «Видалити всі посилання разом з файлом».

• Слідом, щоб відновити змінений ключ реєстру, з верхнього меню «Додатково» виберіть команду «Твіки».

• Натисніть «Скидання ключів Winlogon в початковий стан».

• Закрийте програму і завантажте комп`ютер з жорсткого диска. Баннера ви більше не побачите.

Важливо! Якщо в список підозрілих потрапив системний файл, особливо Userinit.exe, LogonUI.exe, Explorer.exe або Taskmgr.exe, ймовірно, він змінений і містить код блокувальника. Такі файли потрібно замінювати на їх чисті копії, які зберігаються в папці C: WindowsSystem32dllcache.

ERD Commander 5.0

Якщо у вас під рукою виявився цей чудовий інструмент відновлення Windows XP, позбутися від банера «Комп`ютер заблокований» можна набагато простіше, наприклад, скориставшись функцією відновлення системи. Щоб отримати до неї доступ, завантажте ПК з диска ERD Commander версії 5.0 і переходите до наступних дій.

• Натисніть кнопку «Start» (аналог пуску), виберіть з меню пункт «System Tools», а слідом - «System Restore».

• Запуститься знайома програма відновлення системи. Виберіть відповідну контрольну точку і натисніть «Далі». Після процедури відкоту завантажити з жорсткого диска. Банер «Windows заблокований» більше не буде вам докучати.

Видалення шкідливого коду з MBR

Якщо відразу після включення ПК, ще до початку завантаження Windows XP, вашому погляду відкрилася така картина:

значить, ви постраждали від трояна-здирника, прописався в MBR. Видалити звідти шкідливий код може не кожен із перелічених тут засобів - для цього необхідні повноцінні антивірусні продукти, які ми назвемо нижче. А зараз приділимо пару хвилин тому, чого в цьому випадку робити не варто.

Вірний спосіб зробити Windows XP незагружаемую

Багато користувачів знають призначення консольної команди fixmbr - вона призначена для перезапису першого сектора жорсткого диска. І, по-хорошому, повинна відновлювати завантажувальний код, одночасно видаляючи сидить там трояна. Але не тут-то було. В процесі перезапису нестандартної MBR (а в разі зараження трояном вона і буде нестандартною) часто пошкоджується таблиця розділів, яка знаходиться на жорсткому диску відразу ж після завантажувального коду MBR і є її частиною.

Якщо ми проіґноруймо попередження консолі відновлення і виконаємо fixmbr, замість повідомлення про те, що комп`ютер заблокований, побачимо наступне:

що означає пошкодження таблиці розділів. А значить, більше завантажити систему ми не зможемо.

Лікування MBR за допомогою антивірусних утиліт

Для коректного та безпечного відновлення головного завантажувального запису можна використовувати:

• AntiSMS;
• Kaspersky Rescue Disk;
• Dr.Web Live CD;
• LiveCD ESET NOD32.

Цих інструментів більш ніж достатньо, щоб зняти будь-яку блокування Windows XP, в тому числі і таку.

Як уникнути блокування Віндовс?

Навряд чи хто сперечатиметься, що запобігти зараженню комп`ютера троянами-вимагачами набагато легше, ніж потім з ними боротися. І щоб ваш ПК одного разу «випадково" не заблокувався, дотримуйтеся цих нескладних правил:

• встановіть надійний антивірус і не забувайте своєчасно оновлювати його бази;
• перед запуском невідомого файлу не полінуйтеся просканувати його на безпеку;
• не переходьте з невідомих посиланнях, надісланим вам поштою і через месенджери, навіть від ваших занкомих;
• своєчасно встановлюйте "оновлення windows xp"> поновлення Windows XP - це закриває багато лазівок, через які в систему проникають шкідливі програми. І тоді, сподіваємося, вам більше ніколи не доведеться побачити повідомлення «Windows заблокований», по крайней мере, на вашому власному комп`ютері.