Почему вирус называется загрузочным? Потому что он при запуске системы сразу же грузится в память и перехватывает управление всей системой. Наверняка многие сталкивались с такой проблемой, что после посещения некоторых, пусть даже безобидных сайтов, компьютер при следующей загрузке выдавал предупреждение, что он заблокирован, якобы за посещение пoрнo-сайтов, или за рассылку спама, или за другие неблагие действия. Чтобы разблокировать аппарат, нужно якобы пополнить счет на телефоне или положить деньги на определенный кошелек. Или просто отправить смс, и якобы придет код, введя который, вы разблокируете аппарат. Разумеется, ничего разблокировано при этом не будет, так как в такие вирусы даже не закладывается такой возможности. Антивирус против них зачастую бессилен, так как они запускаются сразу же при загрузке системы, блокируя все антивирусы и защитные программы. Итак, как же с ними бороться?
Бывает две его разновидности. Первая разновидность - когда сообщение о блокировке появляется лишь в углу экрана, при этом возможно частичное управление компьютером. Такой вирус относится к троянам, семейству Trojan.Winlock (далее - винлок). При попытке открыть диспетчер задач, чтобы убить вредный процесс, он запускаться, скорее всего, не будет. Точнее, будет запускаться и сразу исчезать, так как он тоже блокируется вирусом. Это самая «легкая» форма загрузочного вируса.
Для начала попробуйте загрузиться в безопасном режиме. (Удерживайте F8 перед загрузкой системы, в появившемся меню выберите «Безопасный режим»). Если в безопасном режиме все чисто, лечится такой вирус довольно просто. Нужно открыть окно настройки системы (Пуск\выполнить, в открывшемся окне написать msconfig и нажать enter). Затем перейти на вкладку «автозагрузка», внимательно изучить список. Если видите что-то подозрительное (абракадабра в названии элемента или странная запись в столбце «команда»), просто отключайте данную запись из автозагрузки, перезагружайте аппарат, и все в порядке.
Если же вы не видите ничего странного, просто выключайте разом всю автозагрузку и перезагружайтесь. Если все чисто, значит, вирус запускается именно оттуда. Тогда всего лишь включайте постепенно записи и смотрите, после активации которой вирус проявляется. После того, как вы найдете вредную запись и отключите ее, можете перейти по пути, указанному в поле «команда», и удалить зловредный файл(ы), их скорее всего будет несколько.
Если нет возможности ни зайти в безопасный режим, ни открыть окно настройки системы - заходите через безопасный режим с поддержкой командной строки. В настоящее время большинство винлоков не может его заблокировать. После загрузки нужно запустить редактор реестра и отследить там подозрительные записи. Для начала нужно проверить раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, конкретно в параметре Shell должно храниться значение explorer.exe, в параметре Userinit - C:\WINDOWS\System32\userinit.exe, именно с запятой. Если в этом разделе ничего подозрительного нет, необходимо проверить в разделе HKEY_CURRENT_USER. Также стоит проверить ветки, где прописаны автозагружаемые программы, например, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В случае присутствия записей, вызывающих подозрение, их нужно заменить на стандартные значения (в случае с автозагрузкой удалить). После перезагрузки компьютера останется лишь удалить зловредную программу.
Однако бывает, что у нас нет доступа даже к меню загрузки Windows. Такие вирусы называются «буткиты». Они вписывают себя в MBR (Master Boot Record, главная загрузочная запись) и запускаются оттуда, полностью либо частично вытесняя загрузчик Windows. Это второй тип загрузочных вирусов. С ними бороться тоже довольно просто. Необходим установочный диск Windows. На экране, где написано «Нажмите R для запуска консоли восстановления», нажимайте. Выполняйте вход в свою копию системы и набирайте одну за другой команды fixmbr (появится предупреждение, отвечайте утвердительно) и fixboot (также отвечайте утвердительно), и все готово. Восстановлена загрузочная запись, можете запускать систему.
Если уж совсем ничего не помогает, придется сносить систему, обязательно с форматированием системного (только системного) раздела. А чтобы заражения вирусом не произошло, используйте антивирусы и с осторожностью относитесь к скачиваемым документам. Они ни в коем случае не должны иметь расширение .exe. И если файл называется, например, music.mp3.exe или photo.jpg.exe, то это определенно вирус.
