Как удалить вредоносное ПО ФБР Ransomware?

Question

Компьютер в нашем доме был поражен вирусом ФБР "вымогателей".

Вот подробности того, что произошло (Win 7 Home Premium):

• Член семьи был на форуме.
• AVG Free (которая была актуальной) предупредил о нападении.
• Появился Adobe Flash.
• Появился Windows UAC, подтверждающий установку Flash.
• Мы ответили «Нет» /«Отменено» на каждый запрос установки Flash. Но это (и диалог UAC) не исчезло бы. Оба всплывают после нажатия кнопки «Нет» или «Отмена».
• Мы перезагрузили компьютер (Пуск -> Перезагрузить), даже не ответив Да на установку Flash. -При перезагрузке отображается экран ФБР Ransomware, и мы были потоплены.

Мы попытались загрузиться в безопасном режиме, но экран выкупа все еще появился. Да, даже в безопасном режиме.

Я надеялся, что будет список инструкций с быстрыми шагами для удаления этого вируса. Думал я нашел с помощью Как удалить вымогателей ФБР Moneypak? но этот вопрос был помечен как дубликат с перенаправлением на Как я могу удалить вредоносные шпионские программы, вредоносное ПО, рекламное ПО, вирусы, трояны или руткиты с моего компьютера? который содержит множество общих методов для удаления вредоносных программ - многие из них очень сложны и непрактичны, если вы пытаетесь восстановить БЫСТРО. (Если это возможно.)

Есть ли какой-либо набор инструкций для того, что делать, чтобы удалить эту конкретную инфекцию вымогателей, включая невозможность загрузки в безопасном режиме?

Answer 1

Загрузите KAV Rescue Disc и либо запишите его на диск, либо используйте программу, например UNetBootin, для его установки на USB-накопитель.

Что это такое:

Собственный антивирус Касперского LiveCD, работающий на специально созданном * nix, который позволит вам бесплатно запускать службу сканирования и удаления из Kaspersky.

Лично я использовал это много раз с большим успехом.

Любые вопросы, пожалуйста, задавайте.

Answer 2

Я отправляю ответ на свой собственный вопрос (согласно http://blog.stackoverflow.com/2011/07/its-ok-to-ask-and-answer-your-own-questions/), потому что, в конце концов, Я наткнулся на хитроумный способ избавиться от вымогателей ФБР от моей машины. Может быть, это поможет кому-то еще.

Краткое изложение шагов:

1. Из выключенного состояния включите компьютер. Дождитесь появления анимации логотипа Windows, отключите питание в середине запуска Windows.
2. Питание машины снова включено. Надеюсь, что появится загрузочное сообщение о том, что Windows не удалось запустить должным образом. Ответьте Да, если он спросит, хотите ли вы попытаться решить проблему.
3. Дайте несколько минут. Надеюсь, Windows спросит вас, хотите ли вы вернуться к предыдущей точке восстановления. Ответь да
4. Подождите (долгое время), чтобы восстановление завершилось. Если повезет, Windows перезагрузится на ваш обычный рабочий стол.
5. Загрузите, установите и запустите Malwarebytes в "быстром" режиме (http://www.malwarebytes.org/) для удаления зараженных файлов.

Подробности:

Я пытался создать автономный загрузочный диск Защитника Windows на другом компьютере. Я также получил предложение запустить Malwarebytes от нашей ИТ-группы на работе. Но это предполагает, что вы можете загрузить свою машину, чтобы запустить Malwarebytes.

Я все еще не мог поверить, что я не смог загрузиться в безопасном режиме. Поэтому я дал еще одну попытку. Машина DELL, и я пропустил нажатие F12 вовремя, чтобы появилось меню параметров загрузки Windows. Графика Windows 7 появлялась, и не было смысла возвращаться к вирусу, поэтому я отключился в середине анимации логотипа Windows.

Я снова включил питание. На этот раз я получил сообщение о том, что Windows не удалось перезагрузить должным образом, и я хочу попытаться решить проблему? Я ответил да. Через минуту или две мне было предложено вернуться к точке восстановления. Я ответил да. Примерно через час индикатора прогресса в стиле DOS по экрану Windows перезагрузилась, и вирус исчез.

Точка восстановления была создана Windows. Мы никогда не создавали его вручную на машине. Мне не предложили выбрать точку восстановления, поэтому я не знаю, что произойдет, если точка восстановления будет содержать вирус.

В моем случае описанные выше шаги, с которыми я столкнулся, быстро и легко удалили вирус без необходимости запуска какой-либо другой утилиты или загрузочного диска.

Последнее замечание: вернувшись в Windows, я запустил Malwarebytes и обнаружил два файла, зараженных трояном.Уинлок. Исходя из этого, он выглядит совместимым с вирусами-вымогателями.

Answer 3

Самый простой способ удаления вымогателей ФБР - отключить компьютер и вынуть жесткий диск. Используя один из множества доступных USB-адаптеров, подключите его к машине, на которой установлена обновленная версия Malwarebytes. Как только вторая машина обнаружит ваш диск, откройте «Мой компьютер» из меню «Пуск». Найдите свой жесткий диск в списке и щелкните правой кнопкой мыши, затем выберите «Сканировать с помощью Malwarebytes». Обычно это находит вирус / вредоносное ПО и удаляет его.

Answer 4

Я действительно нашел способ, который весьма полезен для удаления этого вируса. Я заметил, что иногда экран ФБР всплывает немного времени. В то время в командной строке показывался путь к файлу .exe со странным именем. Запустив компьютер с загрузочного компакт-диска (я использовал загрузочный компакт-диск Hiren), я смог перейти к ранее упомянутому файлу и удалить его.

Я заметил, что иногда файл хранится в папке «Мои документы» (например, C:\Users\USERNAMEHERE\My Documents). В других случаях я заметил это в разных местах (C:\Users\USERNAMEHERE\AppData\Local\Temp).

Поэтому я бы посоветовал взглянуть на некоторые из этих папок и, возможно, даже на другие, поскольку я видел несколько разновидностей вируса. Как только этот файл будет удален, установите Hitman Pro, перезагрузите компьютер и запустите полную проверку от имени администратора. Я также использую Malwarebyetes, Super Anti-Spyware и SpyBot только для того, чтобы убедиться, что там нет остатков.