Лікування блокіраторів-вимагачів (winlock) за допомогою програми universal virus sniffer - лікування
Банери-вимагачі (вінлокі) блокують роботу комп'ютера, тому виникають труднощі з запуском антивірусних програм, тому щоб скористатися програмою Universal Virus Sniffer (UVS) для видалення вінлока є два шляхи:
1) через Безпечний режим Windows з підтримкою командного рядка;
2) якщо Безпечний режим викликати не вийшло, то потрібно використовувати LiveCD.
. Для початку скачайте UVS
Оскільки проблемний комп'ютер заблокований, то завантажувати програму доведеться з іншого (здорового) комп'ютера.
Разархівіруйте скачаний архів.
Також необхідно завантажити за цим посиланням архів "База перевірених файлів", його вміст розархівуйте в папку SHA. яка знаходиться в папці програми UVS. Для запуску UVS використовуйте файл start.exe (в Windows версій Vista / 7/8 натиснути правою кнопкою миші по цьому файлу і вибрати "запуск від імені адміністратора").
Збережіть це все на флешку, яку будете використовувати для лікування комп'ютера.
. Запуск UVS через Безпечний режим
Якщо клавіша F8 не дала потрібного результату, то спробуйте повторити, але замість клавіші F8 тисніть F5.
Якщо вийде завантажитися в цьому режимі, то введіть в командному рядку Explorer і натисніть Enter - завантажитися Провідник. далі зможете запустити UVS в зараженій системі.
Якщо "Безпечний режим Windows з підтримкою командного рядка" не працює, то спробуйте режим "Відновлення служби каталогів (тільки на контролері домену Windows)".
Після запуску UVS виберіть "Запустити під поточним користувачем".
Порада: якщо на комп'ютері встановлено декілька операційних систем, то можна перелічити хвору через здорову (після запуску start.exe вкажіть папку ураженої Windows).
. Запуск UVS з LiveCD
Якщо зайти в систему через Безпечний режим не вийшло, то доведеться записати LivCD, завантажитися з нього і тільки потім запускати UVS.
Для лікування потрібно будь-LiveCD, наприклад, SV-MicroPE 2k10.
Можна змонтувати LiveCD на флешку, але це помітно складніше, ніж запис на диск (болванку). Тому, якщо ви раніше цього не робили, то краще записуйте LiveCD на диск.
Щоб завантажитися з LiveCD диска, як правило, досить вставити цей диск у комп'ютер і перезавантажити комп'ютер. Або вимкнути / включити комп'ютер. Якщо виникнуть питання, то відповідь знайдете в відповідної статті.
Після завантаження з LiveCD вставте флешку з програмою UVS і запустіть її. До речі, багато LiveCD вже містять в собі UVS, якщо це ваш випадок, то навіть не буде потрібно завантажувати UVS на флешку.
Натисніть кнопку "Вибрати каталог Windows" і виберіть папку вашої Windows (швидше за все C: # 92; WINDOWS). Далі натисніть кнопку "Запустити під поточним користувачем".
. Приступаємо до лікування комп'ютера
І так, ви запустили UVS через Безпечний режим або за допомогою LiveCD, тепер приступимо до лікування комп'ютера.
У головному вікні програми Universal Virus Sniffer у вас відображені підозрілі файли.
Натисніть F4. трохи почекайте, з'явиться галочка на "Приховати перевірені". Потім поставте галочку на "Приховати відомі".
Переконайтеся, що стоять галки на "Приховати перевірені" і "Приховати відомі"!
За явно підозрілим файлів клацайте правою кнопкою миші, в меню вибирайте "Додати сигнатуру файлу у вірусну базу".
Проведіть це дію з усіма дійсно підозрілими файлами.
Далі, натисніть кнопку "Перевірити список" або клавішу F7.
Про всяк випадок збережіть список виявлених вірусів в файл, використовуючи поєднання клавіш [Ctrl] + [S].
Натисніть кнопку "Вбити всі віруси".
Тепер доб'ємо зловреда і зачистили сліди його життєдіяльності (виконувати обов'язково. Навіть якщо не було підозрілих файлів). Клікніть мишею по меню "Додатково" (вгорі). У цьому меню виберіть пункт "Очистити кошик, видалити тимчасовий файли, потім видалити посилання на відсутні". Зачекайте поки програма виконує чистку.
Потім в меню "Додатково" виберіть пункт "Твіки.". Клацніть по наступним Твіко:
Якщо якісь твики натиснути не вийде (кнопка Твіка не активна), то нічого страшного.
Потім "Реєстр" -> "Максимально повно очистити ключ Explorer-а".
Тепер можете завантажуватися звичайним способом. Можливо, вірус переможений.
Якщо банер пропав, але система не хоче завантажуватися, то значить пошкоджені системні файли і їх слід відновити.
Після нормального запуску системи обов'язково перевірте комп'ютер безкоштовними антивірусними сканерами.
. Лікування завантажувальних (MBR) зловредів-вимагачів
Вище був показаний приклад видалення файлових зловредів, а ще є завантажувальні - вони заражають головний завантажувальний запис. Тому, банер з'являється до завантаження Windows, тобто не вийде навіть завантажити (F8 або F5) меню виборів варіантів завантаження Windows. Логотип Windows не виникає. Банер з'являється буквально відразу після інформаційного вікна біоса. Банер, як правило, дуже примітивний, і часто візуально демонструє себе як текст на чорному тлі.
Такі банери лікуються тільки з LiveCD, тому що Безпечні режими працювати не будуть. Якщо виходить викликати меню виборів режимів завантаження Windows, то значить це не завантажувальний вінлок і лікувати так, як описано нижче його не слід!
UVS дозволяє досить просто від них позбавлятися. Виберіть "system.ini і Завантажники".
Натисніть F4. трохи почекайте, з'явиться галочка на "Приховати перевірені". Потім поставте галочку на "Приховати відомі" (якщо цього ще не зробили).
Якщо в головному вікні залишився запис ім'я якої починається на "MBR # 0", то значить у вас дійсно MBR банер. Для його видалення: "Руткіти" -> "Замінити завантажувач MBR / VBR + IPL." -> поставити курсор на "MBR # 0." -> "Записати".
