Jeśli po ponownym włączeniu komputera zobaczysz komunikat informujący, że system Windows jest zablokowany i musisz przesłać 3000 złotych, aby uzyskać numer odblokowania, to wiedz kilka rzeczy:
Typowe okno blokady Windows (nie prawdziwe, sam je narysowałem)
Mam nadzieję, że część wprowadzająca była wystarczająco jasna. Jeszcze jeden, ostatni punkt, na który zwrócę twoją uwagę: nie szukaj kodów odblokowujących na forach i wyspecjalizowanych stronach antywirusowych – raczej ich nie znajdziesz. To, że w oknie znajduje się pole do wpisania kodu nie oznacza, że taki kod faktycznie istnieje: zwykle oszuści „nie zawracają sobie głowy” i tego nie przewidują (zwłaszcza ostatnio). Tak więc, jeśli masz jakąkolwiek wersję systemu operacyjnego Microsoft – Windows XP, Windows 7 lub Windows 8 – to jesteś potencjalną ofiarą. Jeśli to nie jest dokładnie to, czego potrzebujesz, zapoznaj się z innymi artykułami w kategorii: Leczenie wirusów.
Przede wszystkim powiem ci, jak wykonać tę operację ręcznie. Jeśli chcesz użyć metody automatycznej do usunięcia tego wirusa, przejdź do następnej sekcji. Zauważam jednak, że pomimo tego, że metoda automatyczna jest ogólnie prostsza, po usunięciu możliwe są pewne problemy – najczęstsze z nich – pulpit nie ładuje się.
Uruchamianie trybu awaryjnego z obsługą wiersza poleceń
Pierwszą rzeczą, jakiej potrzebujemy, aby usunąć blokadę systemu Windows, jest przejście do trybu awaryjnego z obsługą wiersza poleceń systemu Windows. W tym celu:
Wpisz regedit, aby uruchomić Edytor rejestru
Po uruchomieniu wiersza polecenia wpisz regedit i naciśnij Enter. Powinien otworzyć się edytor rejestru, w którym wykonamy wszystkie niezbędne kroki.
Przede wszystkim w edytorze rejestru Windows należy przejść do gałęzi rejestru (struktura drzewa po lewej stronie) HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, to tutaj wirusy blokujące system Windows w pierwszej kolejności umieszczają swoje wpisy.
Powłoka to ustawienie, w którym wirus Windows jest najczęściej uruchamiany
Zwróć uwagę na dwa ustawienia rejestru – Shell i Userinit (w prawym obszarze), ich poprawne wartości, niezależnie od wersji systemu Windows, wyglądają tak:
Najprawdopodobniej zobaczysz nieco inny obraz, szczególnie w parametrze Shell. Twoim zadaniem jest kliknięcie prawym przyciskiem myszy parametru, którego wartość różni się od pożądanej, wybranie „Zmień” i wprowadzenie żądanego (prawidłowe są napisane powyżej). Pamiętaj też, aby zapamiętać wskazaną tam ścieżkę do pliku wirusa – usuniemy go nieco później.
Parametr powłoki nie powinien znajdować się w Current_user
Następnym krokiem jest przejście do klucza rejestru HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon i zwrócenie uwagi na to samo ustawienie powłoki (i Userinit). W ogóle nie powinno ich tu być. Jeśli tak, kliknij prawym przyciskiem myszy i wybierz „Usuń”.
Przejdźmy do sekcji:
I upewniamy się, że żaden z parametrów w tej sekcji nie prowadzi do tych samych plików, co Shell z pierwszego akapitu instrukcji. Jeśli są, usuń je. Z reguły nazwy plików mają postać zestawu cyfr i liter z rozszerzeniem .exe. Jeśli jest coś takiego, usuń to.
Zamknij Edytor rejestru. Zanim znów będziesz w linii poleceń. Wpisz explorer i naciśnij Enter, aby uruchomić pulpit systemu Windows.
Szybki dostęp do ukrytych folderów za pomocą paska adresu Eksploratora plików
Teraz przejdź do Eksploratora Windows i usuń pliki wymienione w usuniętych kluczach rejestru. Z reguły znajdują się one głęboko w folderze Użytkownicy i dotarcie do tej lokalizacji nie jest takie łatwe. Najszybszym sposobem na to jest określenie ścieżki do folderu (ale nie do pliku, w przeciwnym razie zostanie uruchomiony) w pasku adresu eksploratora. Usuń te pliki. Jeśli znajdują się w jednym z folderów „Temp”, możesz bez obaw wyczyścić ten folder ze wszystkiego.
Po wykonaniu wszystkich tych kroków uruchom ponownie komputer (w zależności od wersji systemu Windows może być konieczne naciśnięcie klawiszy Ctrl + Alt + Del.
Po zakończeniu będziesz mieć działający, normalnie uruchamiający się komputer – komunikat „Windows jest zablokowany” nie jest już wyświetlany. Po pierwszym uruchomieniu polecam otworzyć Harmonogram zadań (Harmonogram zadań można znaleźć poprzez wyszukiwanie w menu Start lub na ekranie startowym Windows 8) i sprawdzić, czy nie ma tam jakichś dziwnych zadań. Usuń, jeśli zostanie znaleziony.
Jak powiedziałem, ten sposób na usunięcie blokady systemu Windows jest nieco łatwiejszy. Będziesz musiał pobrać Kaspersky Rescue Disk z oficjalnej strony http://support.kaspersky.ru/viruses/rescuedisk#downloads z działającego komputera i nagrać obraz na dysk lub rozruchowy dysk flash. Następnie musisz uruchomić komputer z tego dysku na zablokowanym komputerze.
Po uruchomieniu z Kaspersky Rescue Disk pojawi się monit o naciśnięcie dowolnego klawisza, a następnie wybór języka. Wybieramy ten, który jest wygodniejszy. Kolejnym krokiem jest umowa licencyjna, aby ją zaakceptować należy nacisnąć 1 na klawiaturze.
Menu Kaspersky Rescue Disk
Pojawi się menu Kaspersky Rescue Disk. Wybierz tryb graficzny.
Ustawienia skanowania antywirusowego
Następnie uruchomi się powłoka graficzna, w której możesz zrobić wiele rzeczy, ale jesteśmy zainteresowani szybkim odblokowaniem systemu Windows. Zaznacz pola „Sektory rozruchowe”, „Ukryte obiekty startowe”, a jednocześnie możesz sprawdzić dysk C: (sprawdzenie potrwa znacznie dłużej, ale będzie bardziej skuteczne). Kliknij Uruchom sprawdzanie.
Raport wyników skanowania w Kaspersky Rescue Disk
Po zakończeniu sprawdzania możesz spojrzeć na raport i zobaczyć, co dokładnie zostało zrobione i jaki jest wynik – zwykle takie sprawdzenie wystarczy, aby usunąć blokadę Windows. Kliknij „Wyjdź”, a następnie wyłącz komputer. Po zamknięciu wyjmij dysk Kaspersky lub dysk flash i ponownie włącz komputer – system Windows nie powinien być już zablokowany i możesz wrócić do pracy.