В последнее время появилось огромное количество вирусов, которые блокируют работу компьютера путем появления баннера примерно такого содержания — Ваш компьютер заблокирован за просмотр копирование и тиражирование материалов… Для снятия блокировки вам необходимо оплатить штраф в размере …. на номер телефона … и так далее и тому подобное.

Ни в коем случае не переводите деньги на указанные номера телефонов, так как вы попадетесь «на удочку мошенникам».

Это вирус (обычно trojan.winlock) и его нужно удалять.

Рассмотрим основные пути решения этой проблемы:

1. Найти код для разблокировки windows.



Производители антивирусов помогают нам найти код от баннера, поэтому можете посмотреть на следующих сайтах и попробовать найти код:




http://support.kaspersky.ru/viruses/deblocker

http://virusinfo.info/deblocker/

http://esetnod32.ru/support/winlock.php

http://www.drweb.com/unlocker/index

http://news.drweb.com/show/?i=304&c=5

http://netler.ru/pc/trojan-winlock.htm



2. Если блокируется загрузка компьютера. Из-за того, что вирус прописывается в загрузочном секторе жесткого диска, компьютер блокируется сразу после сообщения о возможности входа в BIOS. Выбор способов загрузки операционной системы через «F8» и безопасный режим заблокированы.



Перезагрузить компьютер и зайти в BIOS (при включении компьютера нажимать клавишу «Del» либо «F2» ). Изменить системную дату на несколько месяцев вперед. Сохранить настройки, перезагрузить компьютер;




Если операционная система загрузится, тогда просто проверьте систему на вирусы, скачав обновления антивирусных баз, а если не загрузится тогда читайте далее.



3. Если Windows начинает загружаться, а потом блокируется баннером, то имеются следующие варианты:
   
   
   
   1. Подключить жесткий диск к другому компьютеру и проверить его антивирусом. Самый надежный способ.
   
   
   2. Переустановить Windows. Тоже надёжно, но долго.
   
   
   3. Восстановление системы:
   
   
   
   



Попытайтесь загрузиться в безопасном режиме. Для этого необходимо как только начнет загружаться компьютер нажимать кнопку F8, в результате должно появиться на черном фоне меню загрузок. Выберите один из безопасных режимов. Если рабочий стол откроется без проблем, то попробуйте запустить систему Восстановления (если эта служба у Вас включена).




Т.е. щелкаете Пуск –> Программы –> Стандартные –> Служебные –> Восстановление системы — Восстановление более раннего состояния компьютера. Выбираете дату ранее той, когда появился баннер.



4. Если не удается получить доступ к системе не в обычном не в безопасном режиме, то придется использовать загрузочный диск, вручную править реестр и удалять ненужные файлы.



Для этого необходимо загрузиться с любого загрузочного диска Windows (LiveCD).




Далее необходимо зайти в папку Documents and Settings на диск, где установлена Windows и исследовать учетные записи с названиями All Users, Default User, Администратор и созданные Вами на предмет нахождения и удаления подозрительных файлов и папок с названиями типа 22CC6C32.exe или drm.




После заходим в системный реестр с помощью команды regedit, выбираем при этом именно наш реестр с системного диска, а не реестр LiveCD (для этого может понадобиться зайти в меню ПУСК и найти там редактор реестра), и находим по поиску найденные ранее подозрительные файлы и папки и удаляем записи с ними.




Далее смотрим такие разделы в реестре:




HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell — должно быть explorer.exe (правим, если не так), значение параметра Userinit —  C:\WINDOWS\system32\userinit.exe,




Очень часто данный вирус переименовывает и заменяет системый файл userinit.exe (и иногда taskmgr.exe) в папке WINDOWS\system32 и в папке WINDOWS\system32\dllcashe на файл вируса с таким же именем. Поэтому нужно проделать следующее: заменить эти файлы на оригинальные файлы Windows, взяв их с дистрибутива такой же версии Windows или с загруженного LiveCD.

Желательно так же проверить на вирусы с помощью запускаемых с флешки portable антивирусов и почистить папки TEMP и TEMPORARY INTERNET FILES в учетной записи пользователя или в All Users. После этого можно перезагрузиться и попробовать запустить систему. Удачи Вам в этом нелегком деле!