Служба безопасности украины windows заблокирован 220 грн или Trojan.WinLock.7873

Очередное "о боже мой всё пропало, компьютер не работает, а там важные файлы". Очередной виндовслокер, с предупреждением что вы якобы просматривали порно материал, ну может вы их и просматривали только таких блокираторов официальных нет, и всё что блокирует вашу виндовс и просит денег за разблокирование это обыкновенные вирусы. Мораль этих слов такова, каждый отправивший деньги на мобильный номер, или электронный кошелек продлевает беззаботное существование разработчика этого вируса. Другими словами не в коем случае не отправляйте деньги, ОС вам не разблокируют, а деньги потратите зря.

Лечатся такие вирусы по разному но принцип у них один. Где то на вашем винчестере селится файл, где то в реестре вашего компьютера прописывается код который вызывает этот файл, который в свою очередь блокирует вам доступ к ПК. То есть блокируется диспетчер задач, доступ к реестру, порой вы даже не можете вывести курсор мишки за пределы окна предупреждения о нарушении, можете только нажать цифры с помощью которых вы должны ввести код который разблокирует ваш ПК, этот код должен прийти вам якобы после оплаты, но он к вам не придет, поверьте. В моей практике была барышня которая отправляла три раза денюшку по 80 грн (10 у.е), а потом со слезами и наивными словами "я отправила деньги, а оно не разблокировалось", пришла ко мне. Говорить ей что она сглупила, в той ситуации смысла не было, и так расстроена, зачем еще очередной раз напоминать человеку что школу всё же нужно было закончить. Это всё лирическое отступления, а теперь решение проблемы.

Решение в данном случае, то есть если у вас такой же блокиратор как на картинке сверху и сумма такая же, заключается в чистке реестра и удаление вредоносного файла ручками. Если картинка другая или сумма, то всё равно попробуйте мой рецепт лечения, скорей всего так же подойдет. Вам понадобится Alkid Live Cd или другой какой то Live Cd, другими словами виртуальная винда с которой можно будет получить доступ к вашему системному диску. Как вариант вместо CD диска можно извлечь ваш винчестер из ПК или ноута и подсоединить к другому ПК, и таким способом удалить файл.

Мой вредоносный файл назывался "97yc6sgs.exe"(у вас скорей всего будет другое название) и находился он по адресу C:\User\Имя пользователя\AppData\Local\Temp\
Адрес месторасположения файла можно узнать в редакторе реестре. Для этого вам нужно при загрузке виндовс нажать F8, что бы запустить ОС в безопасном режиме с поддержкой командной строки, то есть вы уже поняли какой из трех пунктов безопасного режима вам нужно выбрать. Когда загрузится командная строка, вам нужно ввести команду "REGEDIT". Дальше откроется "Редактор реестра", после этого следуете такими путями:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit="C:\User\Имя пользователя\AppData\Local\Temp\97yc6sgs.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="C:\User\Имя пользователя\AppData\Local\Temp\97yc6sgs.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="C:\User\Имя пользователя\AppData\Local\Temp\97yc6sgs.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
explorer="C:\User\Имя пользователя\AppData\Local\Temp\97yc6sgs.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
UIHost="C:\User\Имя пользователя\AppData\Local\Temp\97yc6sgs.exe"

Небольшое уточнение, первая строка, это своего рода папки разделенные слешем (\), которые видно слева в "Редакторе реестра", вторая стока это записи реестра, которые видно справа в окошке. Надеюсь разберетесь.

Проверить нужно все места, скорей всего что бяка будет видна только по одному из адресов, но всё же проверьте всё. В моем недавнем случае вирус прописался по адресу "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" тремя строками в "Userinit", "Shell" и третий вроде был "UIHost", как то не запомнил, по сути лишний код видно не вооруженным глазом. Находите подозрительный код похожий на мой, и просто удаляете эти строки. Но перед удалением точно проверьте не нужная ли эта строка и запомните адрес где разместился вирус, адрес понадобится позже!

Не умелое редактирование реестра может повлечь за собой крах системы!!!

После чистки реестра не смейте заходить в систему. Теперь используйте Лайв сд или подключите к другому ПК винт, в общем каким то способом получите доступ к файлам вашего больного ПК. Кстати если будете подключать к другому компу убедитесь что там хороший антивирус, хотя теперь вы знаете как чинить ПК и сможете помочь очередному больному : )
Когда вы получили доступ к файлам, переходите по адресу который вы должны были запомнить когда чистили реестр, и удаляете вирусный файл. Теперь можете смело загружать вашу систему, но я бы рекомендовал проверить еще раз реестр после загрузки в вашу родную виндовс, а так же проверить систему на вирусы, каким небудь антивирусом, тем же dr. Web, я сканировал Avast-ом, он нашел еще 24 вируса.

ОС после чистки реестра нельзя загружать потому что вирус опять пропишется в реестре и опять заблокирует Windows.

Собственно это весь мой рецепт решения проблемы с вирусом вымогателем Trojan.WinLock. Надеюсь мои каракули вам помогли. Никогда не спешите переустанавливать Windows, каждую проблему можно решить несколькими способами, переустановка это крайний метод.

И напоследок порекомендую вам поставить другой антивирус, второй раз сталкиваюсь что бесплатный антивирус Avast лучше NOD 32.

Читайте так же: как ловить хариуса и ленка в забайкалье