Видаляємо Winlock вручну або як розблокувати Windows
Як працює Winlock?
В основі роботи будь-якої версії Trojan.Winlock використовуються штатні засоби операційної системи, якими і організовується "блокування Windows".
Фактично алгоритм дії приблизно такий:
1. Скрипт Trojan.Winlock потрапляє на ваш комп'ютер при відключеному брандмауері Windows 7. Способи попадання використовуються різні, починаючи від кліка по "лжебаннеру" і закінчуючи установкою вірусу самим користувачем, який може знаходиться в "крякнутий" платному ПО. В основному Trojan.Winlock знаходиться в тимчасових директоріях використовуваного браузера.
2. Скрипт при активації підмінять значення системного реєстру. Найчастіше підміняється Shell-оболонка, за замовчуванням якої в Windows виступає Explorer. Тобто замість завантаження Explorer `прописується завантаження віконця з проханням-вимаганням. При успішній "активації" це значення замінюється назад на стандартний Explorer.
3. Після перезавантаження ОС Ви отримуєте вікно з здирництвом.
Як розблокувати Windows і видалити Winlock?
Щоб позбавиться від банера, який блокує роботу вашого комп'ютера можна скористатися:
Фактично потрібно відредагувати 2 параметра системного реєстру встановленої ОС Windows і очистити тимчасові файли переглядач ви використовуєте. У більшості випадків цих дій вистачає для відновлення роботи ОС Windows.
1. Завантажуємося з LiveCD-диска ERD Commander`а. При завантаженні ERD Commander`а з'явиться вікно підключення локальної мережі.
Натискаємо Skip, так як мережа нам не знадобиться.
У наступному вікні вибираємо ОС, з якої буде проводиться подальша робота
і натиснути Enter. це вікно потрібно на випадок, якщо використовується кілька ОС на одному комп'ютері.
2. Видаляємо тимчасові файли ОС і переглядач ви використовуєте. Для цього скористаємося ярликом My Computer. Очистити необхідно директорії:
* C: \ Windows \ Temp
* C: \ Documents and Settings \ логін \ Local Settings \ Temporary Internet Files
* C: \ Documents and Settings \ логін \ Local Settings \ Application Data \ Opera \ Opera \ cache
* C: \ Documents and Settings \ логін \ Local Settings \ Application Data \ Opera \ Opera \ cache
3. Редагуємо системний реєстр Windows. Запускаємо Start> Administrative Tools> Registry Editor:
* Змінити параметр Userinit (REG_SZ), який знаходиться [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon], на значення C: \ WINDOWS \ system32 \ userinit.exe
* Змінити параметр Shell (REG_SZ), який знаходиться там же, на значення Explorer.exe
Має вийти так:
4. Перезавантажуємо комп'ютер і для надійності перевіряємо ОС безкоштовним антивірусом.