Как побороть winlock (винлок)

Уже давно в русскоязычном интернете бушует вирус под названием Trojan.Winlock или проще — «винлокер». Точнее, это целое семейство вирусов, которые, однако, ведут себя примерно одинаково: во время работы Windows или при запуске Windows появляется окно, которое блокирует любые действия и нажатия.

В окне содержится текст наподобие «Ваш Windows заблокирован за использование нелицензионного программного обеспечения» или «Windows заблокирован за просмотр порносайтов» и т.п. Для получения разблокирующего кода предлагается отправить SMS на платный номер, либо пополнить кошелек WebMoney (или других систем) через терминал.

Выглядеть это может по-разному:

Вирус особенно широко распространен в России, Украины и Белоруссии. Проникает в компьютер он, как правило, через уязвимости в браузере: окно с вредоносным сайтом открывается в фоновом режиме и загружает вирус.

К сожалению, бороться с винлокером очень сложно. Во-первых, быстро появляются его новые модификации — и инструкции по «лечению» устаревают. Во-вторых, вариантов винлокера так много, что единой методики лечения не существует.

Зачастую помогает только переустановка Windows. И ни в коем случае не нужно отправлять мошенникам деньги, никакой разблокировки вы не получите!
Но кое-что попытаться сделать всё же можно. Нужно попробовать загрузиться в безопасном режиме (кнопка F8 во время загрузки), если вирус блокирует его, то в безопасном режиме с поддержкой командной строки, если и это не получается, то нужно загрузиться с CD.

Когда Windows запущен:

• Просканировать компьютер антивирусом.
• Открыть редактор реестра (команда regedit), проверить ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Там в параметре Shell должно быть написано explorer.exe, а в параметре Userinit — C:\WINDOWS\System32\userinit.exe, (обязательно с запятой). Потом проверить и исправить то же самое в ветке HKEY_CURRENT_USER.
• Там же в реестре проверить ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (автозагрузка) и удалить подозрительные записи.
• Почистить папку Temp и папку с временными файлами браузера, а также cookie.
• Почистить файл C:\WINDOWS\System32\drivers\etc\hosts.
• Если есть дистрибутив Windows, то нужно заменитьиз него файлы userinit.exe, winlogon.exe и explorer.exe.

Википедия говорит, что иногда помогает перестановка даты в BIOS на пару лет назад.

Мы также рекомендуем иметь установленной на компьютере программу StartupMonitor, которая блокирует попытки вирусов встать в автозагрузку, и EF StartUp Manager, которая показывает, какие именно программы находится в автозагрузке.

По материалам оВебМани.Ру