В последнее время всё чаще и чаще поступают жалобы на вирус, который производит полную блокировку компьютера и вымогательство денег, на стадии ещё до загрузки операционной системы (красные буквы на черном экране). Проблема в том, что для неподготовленного пользователя ситуация может стать действительно тупиковой: компьютер не загружается ни в обычном, ни в безопасном режиме, загрузка и сканирование антивирусом с live-cd безрезультативна, даже попытка переустановки Windows может не увенчаться успехом! Здесь я расскажу о способах как на самом деле легко и просто его удалить.

Данный вирус поражает MBR — главную загрузочную запись жёсткого диска, доступа к которой ни пользователь, ни операционная система доступа обычно не имеют. В этом и заключается вся сложность, и, одновременно простота его удаления.

Заражение обычно происходит во время клика на заражённой ссылке или загрузки зараженной веб-страницы. Далее компьютер через несколько секунд выключается, пытается перезагрузиться и показывает сообщение от том, что «Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементами педофилии… Необходимо платить штраф в размере… » и т.д. и т.п. Оплата осуществляется через Ibox-ы на кошельки Webmoney U338098752819, U225475893811, U250977606445, U193923440709, U255460166383, U229167721843, 380684668914 и др., либо пополнением счёта мобильного телефона. Существуют различные разновидности вируса для Украины и России.

Способ 1. Восстановление MBR из резервной копии Acronis TrueImage

Люди делятся на две категории: на тех, которые делают резервные копии, и на тех, которые  уже делают…

Если Вы относитесь к тем людям, которые после установки Windows, драйверов, программ и настроек сделали резервную копию системного диска — поздравляю, Ваши усилия не пропали даром! Для Вас эта проблема не является проблемой: нужно лишь загрузиться с загрузочного диска Acronis и восстановить mbr из своей резервной копии.

После перезагрузки от вируса не остаётся и следа, остаётся лишь провести «контрольную зачистку» компьютера свежими антивирусом и антитроянской программой.

Способ 2. С помощью утилиты CureIt от DrWeb либо Kaspersky TDSSKiller

Несмотря на то, что DrWeb данное заражение пропускает, результат заражения — модифицированый MBR он может с успехом лечить. Для этого нужно загрузиться с любого LiveCD и запустить эту утилиту. Вредоносная запись обезвреживается в считанные секунды.

При перезагрузке Windows загружается в нормальном режиме, как будто ничего и не было.

Способ 3. С помощью установочного диска Windows

Внимание! В свете последних модификаций данного вируса этим способом пользоваться НЕ РЕКОМЕНДУЕТСЯ!

Для Windows XP: вставляем установочный диск и включаем компьютер,  жмём любую кнопку для подтверждения загрузки  (Press any key to boot from CD…..). Ждём когда полностью загрузится диск и предложит выбор действий. Выбираем режим восстановления, кнопка R. Теперь система предложит выбрать какую ОС из найденных восстанавливать, нажимаем цифру и Enter (обычно 1). Теперь необходимо ввести пароль администратора, если его нет, то просто оставляем пустым и жмём Enter. Вот мы добрались до консоли восстановления. Вбиваем команду: FIXBOOT, Enter, вас попросят подтвердить, нажмите Y. Теперь вбиваем команду FIXMBR, Enter и  опять подтверждаем нажатием Y. Всё теперь вбиваем EXIT и перезагружаемся. Можно грузиться с жёсткого диска.  Всё.

Для Windows 7: загрузиться с установочного диска или флешки с windows 7 — восстановление системы — коммандная строка — bootsect /mbr All

Способ 4. Переустановка Windows

При переустановке Windows необходимо полностью удалить системный раздел, а потом создать его вновь. При этом пересоздастся и MBR.

Полная версия статьи Вирус mbr-winlock: быстрое его удаление и восстановление доступа к компьютеру