Як впоратись із вірусом, який блокує екран і вимагає гроші?

Поради щодо видалення вірусу, який видає себе за Міністерство внутрішніх справ України, запевняє, що ви розповсюджували дитяче порно і т.п. і погрожує кримінальною справою, якщо ви, мовляв, не перерахуєте їм 300 грн.


Ця інформація може бути корисною тим, хто стикався із цією проблемою.

Симптоми вірусу

Вікно з повідомленням заповнює весь простір, не дає змогу відкрити диспетчер задач. При завантаженні системи у безпечному режимі також блокує екран.

У перших двох рядках написано:
Министерство внутренних дел Украины 
Внимание! Обнаружена незаконная деятельность.
і т.п. і т.д.

Вихід із ситуації

1. Необхідно завантажити комп'ютер в DOS, або використати різні диски-завантажувачі, які дозволяють працювати із дисками, файлами, реєстром і т.п. Одним із таких завантажувачів є збірка Hiren's Boot CD. З допомогою іншого комп'ютера необхідно скачати файл-образ цього диска, записати його на диск і запустити його при завантаженні системи вашого ПК (на деяких ноутбуках потрібно перед завантаженням операційної системи натиснути F12 чи іншу клавішу для того, щоб отримати варіанти завантаження. Якщо така клавіша не працює, то необхідно змінити порядок запуску пристроїв (Boot) у налаштуваннях BIOS).
1.1. Після того, як з'явиться меню Hiren's Boot CD необхідно вибрати запуск Mini Windows XP.

2. Після завантаження Mini Windows XP у правому нижньому куті має бути кнопка запуску програм. Треба вибрати Starup та AutoRuns (All Startups) - цей пункт може бути першим зверху в списку.

2.1. Оскільки ми запустили програму AutoRuns в середовищі Mini Windows XP, то зараз нам необхідно вказати шлях до зараженої ОС, для того, щоб внести зміни до програм, які запускаються при завантаженні ОС. Для цього у верхньому лівому куті натисніть File - Analyze Offline System..., у рядку System Root: вкажіть шлях до папки Windows зараженої ОС (це може бути папка C:\Windows), та натисніть ОК. Після цього програма має завантажити дані зараженої ОС і можна починати роботу.

3. В програмі Autoruns необхідно знайти параметр, який має шлях C:\Users\(ім'я вашого профілю)\AppData\Roaming\crcss.exe (ім'я файлу точно не пам'ятаю, можливо crscs.exe, чи crsss.exe). Щоб звузити пошук спочатку продивіться вкладки Logon та Explorer.

Як виявилось потім при скануванні комп'ютера на наявність вірусів програмою 

Kaspersky Virus Removal Tool, цей вірус має назву Trojan.Win32.Jorik.MokesLoader.dv

3.1. Відключіть або видаліть цей параметр.

4. Перезавантажте систему.

5. Проскануйте комп'ютер на наявність вірусів.

Висновок

Запам'ятайте! Ваша безпека - в ваших руках. Поводьтеся обережно в мережі, піддавайте сумніву посилання, які ви отримуєте через пошту, чати та соц. мережі. Якщо ви полюбляєте качати піратське програмне забезпечення та качати безкоштовно музику і фільми, ризик зараження підвищується.

Не будьте самовпевненими. Ви можете попастись на новий вірус раніше, ніж його виявлять в лабораторії вашого супер-пупер потужного антивіруса, випустять оновлені бази і ваш антивірус оновиться.


Якщо у вас виникли труднощі при використанні цієї інструкції, ви можете написати про це в коментарях знизу.