Баннеры-вымогатели (винлоки) блокируют работу компьютера, поэтому возникают трудности с запуском антивирусных программ, поэтому чтобы воспользоваться программой Universal Virus Sniffer (UVS) для удаления винлока есть два пути:

1) через Безопасный режим Windows с поддержкой командной строки;

2) если Безопасный режим вызвать не получилось, то потребуется использовать LiveCD.

:: Для начала скачайте UVS

Т.к. проблемный компьютер заблокирован, то скачивать программу придется с другого (здорового) компьютера.

Страница загрузки: http://dsrt.dyndns.org/uvsfiles.htm

Разархивируйте скачанный архив.

Также необходимо скачать по данной ссылке архив "База проверенных файлов", его содержимое разархивируйте в папку SHA, которая находится в папке программы UVS. Для запуска UVS используйте файл start.exe (в Windows версий Vista/7/8 щелкнуть правой кнопкой мыши по этому файлу и выбрать "запуск от имени администратора").

Сохраните это всё на флэшку, которую будете использовать для лечения компьютера.

:: Запуск UVS через Безопасный режим

Чтобы загрузиться в "Безопасном режиме Windows с поддержкой командной строки": включите компьютер и сразу же много раз нажимайте клавишу F8 до появления меню "Дополнительные варианты загрузки". Т.е. нажали клавишу "power" на корпусе компьютера и буквально сразу же начинаете многократные нажатия клавиши F8.

Если клавиша F8 не дала нужного результата, то попробуйте повторить, но вместо клавиши F8 жмите F5.

Если получится загрузиться в этом режиме, то введите в командной строке Explorer и нажмите Enter - загрузиться Проводник, далее сможете запустить UVS в зараженной системе.  

Если "Безопасный режим Windows с поддержкой командной строки" не работает, то попробуйте режим "Восстановление службы каталогов (только на контроллере домена Windows)".

После запуска UVS выберите "Запустить под текущим пользователем".

Совет: если на компьютере установлено несколько операционных систем, то можно пролечить больную через здоровую (после запуска start.exe укажите папку пораженной Windows).

:: Запуск UVS с LiveCD

Если зайти в систему через Безопасный режим не получилось, то придется записать LivCD, загрузиться с него и только потом запускать UVS.

Для лечения потребуется любой LiveCD, например, SV-MicroPE 2k10.

Скаченный образ LiveCD (c расширением iso) не нужно открывать с помощью WinRAR-а, не надо из него ничего извлекать, даже не надо смотреть что у него внутри. Его нужно просто смонтировать на диск или флэшку. Именно смонтировать, а не скопировать! Для этих целей можно использовать стандартное средство записи образов дисков Windows. Или специальные программы, например, с помощью программы Nero: читать. Существует много других программ для монтирования образа LiveCD, вот бесплатные:

• CDBurnerXP (русскоязычная)
• aBurner (русскоязычная)
• BurnCDCC (очень простая и понятная)

Можно смонтировать LiveCD на флэшку, но это заметно сложней, чем запись на диск (болванку). Поэтому, если вы раньше этого не делали, то лучше записывайте LiveCD на диск.

Чтобы загрузиться с LiveCD диска, как правило, достаточно вставить этот диск в компьютер и перезагрузить компьютер. Или выключить/включить компьютер. Если возникнут вопросы, то ответ найдете в соответсвующей статье.

После загрузки с LiveCD вставьте флэшку с программой UVS и запустите ее. Кстати, многие LiveCD уже содержат в себе UVS, если это ваш случай, то даже не потребуется скачивать UVS на флэшку.

Нажмите кнопку "Выбрать каталог Windows" и выберите папку вашей Windows (скорее всего C:\WINDOWS). Далее нажмите кнопку "Запустить под текущим пользователем".

:: Приступаем к лечению компьютера

И так, вы запустили UVS через Безопасный режим или с помощью LiveCD, теперь приступим к лечению компьютера.

В главном окне программы Universal Virus Sniffer у вас отображены подозрительные файлы.

Нажмите клавишу F4, немного подождите, появится галочка на "Скрыть проверенные". Затем поставьте галочку на "Скрыть известные".

Убедитесь, что стоят галки на "Скрыть проверенные" и "Скрыть известные"!

По явно подозрительным файлам щелкайте правой кнопкой мыши, в появившемся меню выбирайте "Добавить сигнатуру файла в вирусную базу".

Придумайте вирусу название и введите его в строке "Имя". Что касается длины, то если UVS предлагает "8", то лучше увеличить до "32". Нажмите "Ок".

Проведите это действие со всеми действительно подозрительными файлами.

Далее, нажмите кнопку "Проверить список" или клавишу F7.

На всякий случай сохраните список обнаруженных вирусов в файл, используя сочетание клавиш [Ctrl] + [S].

Нажмите кнопку "Убить все вирусы".

Теперь добьем зловреда и зачистим следы его жизнедеятельности (выполнять обязательно, даже если не было подозрительных файлов). Кликните мышью по меню "Дополнительно" (вверху). В этом меню выберите пункт "Очистить корзину, удалить временный файлы, затем удалить ссылки на отсутствующие". Подождите пока программа выполняет чистку.

Затем в меню "Дополнительно" выберите пункт "Твики...".  Щелкните по следующим твикам:

• Разблокировать Диспетчер задач
• Разблокировать Свойства папки
• Удалить все Persistent routes
• Разрешить отображение вкладки Экран -> Рабочий стол
• Полная очистка ключей Safer\CodeIdentifiers\0\Paths
• Разблокировать Редактор реестра
• Сброс ключей Winlogon в начальное состояние
• Очистить HOSTS
• Снять ограничения на запуск приложений в Explorer -е
• Восстановить испорченные значения ImagePath
• Восстановить из копии параметры запуска файлов
• Очистить ВСЕ каталоги System Volume Information

Если какие-то твики нажать не получится (кнопка твика не активна), то ничего страшного.

Затем "Реестр" -> "Максимально полно очистить ключ Explorer-а".

Теперь можете загружаться обычным способом. Возможно, вирус побежден. 
Если баннер пропал, но система не хочет грузиться, то значит повреждены системные файлы и их следует восстановить.

После нормального запуска системы обязательно проверьте компьютер бесплатными антивирусными сканерами.

:: Лечение загрузочных (MBR) зловредов-вымогателей

Выше был показан пример удаления файловых зловредов, а еще есть загрузочные - они заражают главную загрузочную запись. Поэтому, баннер появляется до загрузки Windows, т.е. не получится даже загрузить (F8 или F5) меню выборов вариантов загрузки Windows. Логотип Windows не появляется. Баннер появляется буквально сразу после информационного окна Биоса. Баннер, как правило, очень примитивен, и часто визуально демонстрирует себя как текст на черном фоне.

Такие баннеры лечатся только с LiveCD, т.к. Безопасные режимы работать не будут. Если получается вызвать меню выборов режимов загрузки Windows, то значит это не загрузочный винлок и лечить так, как описано ниже его не следует!

UVS позволяет довольно просто от них избавляться. Выберите "system.ini и Загрузчики".

Нажмите клавишу F4, немного подождите, появится галочка на "Скрыть проверенные". Затем поставьте галочку на "Скрыть известные" (если этого еще не сделали).

Если в главном окне осталась запись имя которой начинается на "MBR#0", то значит у вас действительно MBR баннер. Для его удаления: "Руткиты" -> "Заменить загрузчик MBR/VBR+IPL..." -> поставить курсор на "MBR#0....." -> "Записать".

При использовании данного материала, просьба указывать ссылку на http://av.3dn.ru/