Ваш комп’ютер заблокований за перегляд і поширення
Начебто ви нічого страшного не робили, на роботі непристойні сайти не переглядали, а тут раптом р-р-раз! На весь екран величезний банер синього, червоного або навіть коричневого кольору. Хтось Коломия і впевнений в собі пише, що комп'ютер заблокований за поширення чогось непристойного і аморального. Порушені такі-то статті такого-то кодексу. Безумовно, кримінального. І навіть вже статтю підібрали. Жах, жах! Але начебто можна домовитися: заплатити трошки комусь невидимому і ніби як закриють очі на ваше гріх. Все як в реальному житті.
Порушення віртуальне, строгий дядько теж віртуальний, платити потрібно теж віртуально. Тільки от гроші ви втратите зовсім віртуальні, а свої кревні.
Що робити? Робота варто, начальство невдоволено, а банер висить і блокує комп'ютер.
Але ми ж просунуті користувачі, правильно? Ми натискаємо Ctrl-Alt-Del, намагаючись викликати диспетчер задач і зняти шкідливий процес. Хм. Не виходить. Намагаємося перевантажити комп'ютер (воно ж як в житті буває - два рази перевантажив, на третій раз проблема сама пройшла). Натискаємо варварськи кнопочку Reset на системному блоці. Ах да, у нас же ноутбук. Нічого, досвідчені користувачі знають, що о-о-о-дуже довге натискання на кнопку харчування примусово вимкне ноутбук. Нетерплячі просто відключають блок живлення і знімають акумулятор. Так що за біда! Банер знову з'являється і блокує роботу!
Отже, будемо боротися самотужки. Це у нас обов'язково вийде.
Для боротьби нам знадобиться:
- другий комп'ютер,
- підключення до інтернету на швидкості, достатньої для скачування близько 700 мегабайт. Зрозуміло, тарифний план повинен бути по кишені, інакше затія виявиться занадто дорогий,
- чистий CD-диск для запису, можна перезаписуваний або флешка на 1 гігабайт, якщо в ураженому комп'ютері немає приводу для читання дисків,
- близько години-двох часу.
Що сталося насправді і чого побоюватися?
"А-а-а! Мій комп'ютер заражений вірусом!" Ні, це не вірус - це шкідлива програма, що потрапила до вас обманним шляхом. Такі називають ще "троянськими програмами". Чому не вірус? Та тому, що він не буде розмножуватися, і ваш комп'ютер не перетворився на джерело проблем для сусідніх машин. Це як у людей: можна заразитися грипом в трамваї і принести хвороба колегам по роботі, а можна і просто впасти у відкритий люк. При цьому гіпс на вашій нозі НЕ буде продубльований начальнику. У випадку з блокуванням комп'ютера у вас другий варіант.
Крім того, в папці C: \ Documents and Settings \ All Users \ Application Data з'являвся файл 22CC6C32.exe
У реєстрі операційної системи в розділі HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon були помічені зміни параметрів Shell і Userinit, які посилалися на нові "підставні" файли.
У більш пізніх варіантах програма-блокувальник могла проявлятися з іншими іменами файлів, але суть поразки комп'ютера залишалася колишньою.
Для початку спробуємо обійтися найпростішим способом. Якщо програма-блокувальник просить ввести код, який купили у розробника за гроші, зробимо це. Звичайно, платити нікому нічого не потрібно. Якщо вам своєрідно пощастило і до вас прийшов один з відомих варіантів блокувальника, то відповідні коди можете подивитися на сайтах антивірусних лабораторій:
Якщо все вийшло, можна радіти, що не не сильно. Ви пройшли лише етап тимчасового відключення шкідливої програми, але не видалили її. Єдине, чим цей маленький успіх полегшить роботу - не буде необхідності завантажуватися з окремого диска. Операції по лікуванню комп'ютера можна зробити засобами самої операційної системи.
Якщо код підібрати не вдалося, будемо видаляти блокувальник після завантаження комп'ютера з окремого диска.
І після підбору коду, і в разі невдачі послідовність дій з очищення буде схожою.
Версії і збірки аварійних дисків постійно оновлюються, тому немає сенсу вказувати якусь конкретну. Можна пошукати з назвами: UBCD, ReanimatorLiveCd, Hiren'sBootCD або подібні. Будьте готові до того, що вам доведеться перепробувати не один варіант такого диска, тому краще записувати його на перезаписувану "болванку" CD-RW.
Викачуємо образ такого диска (це буде швидше за все файл з розширенням * .iso, * .mds або * .nrg). Найбільш поширений * .iso. Це файл, в якому один-в-один міститься інформація, розташована на фізично реальному диску. Наш образ буде розміром від 200 до 700 мегабайт в залежності від конкретного типу.
Далі цей образ записуємо на "болванку" за допомогою будь-якої програми для запису дисків, наприклад Nero. Зверніть увагу, що нам потрібен режим "запис образу" або "відновити з образу". Якщо ви створите диск, на якому буде просто "лежати" наприклад файл LiveCD.iso, нічого не вийде. В правильно записаному варіанті при відкритті диска буде кілька файлів і папок.
Якщо у вашому зараженому комп'ютері немає приводу для читання дисків, то слід зробити "завантажувальний флешку". Для цього знадобиться програма, яка отриманий образ підготує і перетворить в відповідну інформацію на флеш-носії. Зазвичай такі програми невеликі і знаходяться там же, звідки ви завантажили образ аварійного диска.
Вставляємо диск у привід і робимо перезавантаження комп'ютера клавішею Reset або вимиканням харчування ноубтука (тривале натискання на кнопку включення з подальшим його включенням).
Для того, що б комп'ютер завантажився саме з нашого CD-диска, а не зі свого жорсткого, слід включити цей режим в BIOS комп'ютера (це не дуже велика програма, записана в мікросхемах плати, вона при запуску завантажується найпершої). Спосіб увійти в налаштування BIOS залежить від конкретного комп'ютера або ноутбука. Клавіші можуть бути різні. На всі варіанти є універсальний "народний спосіб": при перезавантаженні ставимо пальці на клавіші Esc, Ins, Del і починаємо швидко-швидко натискати їх по черзі. Одна з них спрацює напевно, і ми побачимо на моніторі зазвичай синій екран. Виберемо послідовність завантаження CD -> HDD, збережемо налаштування і вийдемо.
Якщо у вашому "пацієнта" немає CD-ROM, то виберіть в налаштуваннях завантаження з флеш-пам'яті.
При завантаженні на чорному тлі екрана комп'ютер попросить підтвердити завантаження саме з CD. Просто натисніть Enter.
Отже, дочекаємося завантаження з нашого диска відновлення. Це може зайняти 5 хвилин і більше. Традиційно такі системи відновлення роблять в оперативній пам'яті віртуальний диск, на який переносять основні компоненти операційної системи і не зачіпають вміст вашого жорсткого диска.
Після закінчення завантаження відкриваємо "Мій комп'ютер" і намагаємося знайти логічний диск, на якому знаходиться ваша операційна система. Не потрібно лякатися, якщо дисків виявилося більше, ніж було у вас насправді - нові створив відновлювальний диск для своїх потреб, і після звичайної завантаження все буде як завжди. Також можливо, що ваш звичний диск С: отримає іншу букву - це також на час відновлення.
Часто виникає ситуація, коли ваш рідний і звичний диск С: взагалі відсутня в списку. Це не страшно, він не був знищений. Просто при даній завантаженні аварійна система його "не побачила" і його потрібно змонтувати. Робиться це так. Вибираємо по черзі пункти меню "Пуск - Налаштування - Панель управління - Адміністрування - Управління комп'ютером - Управління дисками". З'явиться умовна лінійка, на якій зображені розділи вашого жорсткого диска. Розділів може бути кілька або він буде єдиний. Клацніть на ньому і далі натисніть праву клавішу мишки. Виберіть "Змінити букву диска". УВАГА, ні в якому разі не робіть "Видалити розділ", "Створити розділ", "Форматувати" або ще що-небудь крім присвоєння / зміни букви. Іноді привласнити розділу звичну букву С: не виходить - виберіть будь-яку з алфавіту подалі, наприклад, N: або M :.
Все, пацієнт готовий до операції.
Якщо ви раніше успішно підібрали код, то описані вище дії з завантаженням з CD-ROM або флешки не знадобляться і можна приступати до описаної нижче роботі.
Насамперед видалимо файли програми-блокатора.
Знаходимо папку C: \ Documents and Settings \ All Users \ Application Data \ і в ній видаляємо 22CC6C32.exe
Знаходимо папку C: \ Documents and Settings \ (Ім'я профілю, під яким входите в систему) \ Робочий стіл і в ній видаляємо test.exe
Знаходимо папку C: \ Documents and SettingsUser \ (Ім'я профілю, під яким входите в систему) \ Wlockwlock.exe
Знаходимо папку C: \ WINDOWS \ system32 \ в ній видаляємо файл userinit.exe
У цій же папці знаходимо файл з ім'ям 03014D3F.exe і перейменовуємо його в userinit.exe
Далі отриманий файл userinit.exe копіюємо в папку C: \ WINDOWS \ system32 \ dllcache
Вище перераховані найбільш відомі місця розташування файлів. Якщо якийсь із них не виявлено, значить у вас просто інша модифікація блокувальника і дію можна пропустити.
Далі знайдіть по цьому ж шляху параметр Userinit відновите в значення "C: \ WINDOWS \ system32 \ userinit.exe," кома в кінці має бути присутня.
Відкриваємо шлях HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows NT / CurrentVersion / Image File Execution Options, знаходимо підрозділ explorer.exe і безжально його видаляємо.
Усе. Очищення виконана.
Дістаємо диск відновлення і перевантажуємося в звичайному режимі з жорсткого диска. Якщо наведені дії відповідали варіанту вашого блокувальника, то працездатність комп'ютера повинна бути відновлена.
Не виключено, що після перезавантаження банер зловмисника пропаде і гроші ніхто вже не вимагатиме, а й комп'ютер не буде працювати правильно. Наприклад, не буде з'являтися робочий стіл. Це означає, що крім описаних в даній статті файлів були пошкоджені ще й інші, наприклад explorer.exe. Самий просто спосіб - спробувати скопіювати файли explorer.exe і userinit.exe з іншого комп'ютера з такою ж операційною системою. Просто переписати на флешку і записати на ваш комп'ютер в відповідне місце.
Перевантажуємося і тепер-то вже точно працюємо без проблем.
Описана процедура звичайно ж не дає 100% гарантії лікування, а є узагальненням найбільш поширених успішних підходів, які описані користувачами.
Що робити для запобігання подібним пошкоджень в майбутньому?
Антивірус, його своєчасне і регулярне оновлення - це ми всі знаємо, але ось в даному випадку ж не допомогло! Невже наш комп'ютер так беззахисний?
Зробіть самі або попросіть знаючої людини зробити вам ще один обліковий запис з мінімальними правами доступу простого користувача. Після цього більшість проблем ураження комп'ютера вас хвилювати не будуть.