###
  • Programi
  • Sigurnost
  • Vijesti
  • Zanimljiv
  • Savjet
  • Vijesti
  • Recenzije

    • Kako ukloniti banner virus. Uklanjanje natpisa s radne površine, otključavanje Windowsa. Pokretanje s Windows instalacijskog diska

    08.11.2019 Zanimljiv

    Winlocker (Trojan.Winlock) je računalni virus koji blokira pristup sustavu Windows. Nakon infekcije, traži od korisnika da pošalje SMS kako bi primio kod koji vraća funkcionalnost računala. Ima mnogo modifikacija softvera: od najjednostavnijih - "implementiranih" u obliku dodatka, do najsloženijih - modificiranje sektora za pokretanje tvrdog diska.

    Upozorenje! Ako je vaše računalo zaključano Winlockerom, ni pod kojim okolnostima nemojte slati SMS ili prenositi unovčiti kako biste dobili kod za otključavanje OS-a. Nema jamstva da će vam biti poslana. A ako se to dogodi, znajte da ćete svoj teško zarađeni novac dati kriminalcima u bescjenje. Ne nasjedajte na trikove! Jedino ispravno rješenje u ovoj situaciji je uklanjanje ransomware virusa s vašeg računala.

    Sami uklonite natpis s ransomwareom

    Ova je metoda primjenjiva na Winlockere koji ne blokiraju učitavanje OS-a siguran način, uređivač registra i naredbeni redak. Njegov princip rada temelji se na korištenju isključivo uslužnih programa sustava (bez korištenja antivirusni programi).

    1. Kada vidite zlonamjerni banner na monitoru, prvo isključite internetsku vezu.

    2. Ponovno pokrenite OS u sigurnom načinu rada:

    • kada se sustav ponovno pokrene, držite tipku "F8" dok se na monitoru ne pojavi izbornik "Dodatne mogućnosti pokretanja";
    • Pomoću strelica pokazivača odaberite "Siguran način rada s naredbeni redak" i pritisnite "Enter".

    Pažnja! Ako se računalo odbija pokrenuti u sigurnom načinu rada ili se naredbeni redak/uslužni programi sustava ne pokreću, pokušajte ukloniti Winlocker drugom metodom (pogledajte dolje).

    3. U naredbeni redak upišite naredbu - msconfig, a zatim pritisnite "ENTER".

    4. Na zaslonu će se pojaviti ploča za konfiguraciju sustava. Otvorite karticu "Pokretanje" u njemu i pažljivo pregledajte popis elemenata za prisutnost Winlockera. Njegovo ime u pravilu sadrži besmislene alfanumeričke kombinacije (“mc.exe”, “3dec23ghfdsk34.exe” itd.) Onemogućite sve sumnjive datoteke i zapamtite/zapišite njihova imena.

    5. Zatvorite ploču i idite na naredbeni redak.

    6. Unesite naredbu “regedit” (bez navodnika) + “ENTER”. Nakon aktivacije otvorit će se Windows Registry Editor.

    7. U odjeljku "Uredi" izbornika uređivača kliknite "Pronađi...". Napišite naziv i ekstenziju Winlockera koji se nalazi u pokretanju. Započnite pretraživanje pomoću gumba "Pronađi sljedeće...". Svi unosi s nazivom virusa moraju se izbrisati. Nastavite skenirati pomoću tipke "F3" dok se sve particije ne skeniraju.

    8. Upravo tamo u uređivaču, pomičući se duž lijevog stupca, pogledajte imenik:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Trenutna verzija\Winlogon.

    Unos "shell" mora imati vrijednost "explorer.exe"; unos “Userinit” je “C:\Windows\system32\userinit.exe,”.

    Inače, ako se otkriju zlonamjerne izmjene, upotrijebite funkciju "Popravi" (desna tipka miša - kontekstni izbornik) postavite ispravne vrijednosti.

    9. Zatvorite uređivač i ponovno idite na naredbeni redak.

    10. Sada trebate ukloniti banner s radne površine. Da biste to učinili, unesite naredbu "explorer" (bez navodnika) u redak. Kada se pojavi ljuska sustava Windows, uklonite sve datoteke i prečace iz neobična imena(koju niste instalirali na sustav). Najvjerojatnije je jedan od njih transparent.

    11. Ponovno pokrenite Windows normalni mod i provjerite jeste li uspjeli ukloniti zlonamjerni softver:

    • ako je banner nestao, spojite se na internet, ažurirajte instaliranu antivirusnu bazu podataka ili koristite alternativni antivirusni proizvod i skenirajte sve particije tvrdog diska;
    • ako banner nastavi blokirati OS, upotrijebite drugu metodu uklanjanja. Možda je vaše računalo pogođeno Winlockerom, koji je "popravljen" u sustavu na nešto drugačiji način.

    Uklanjanje pomoću antivirusnih uslužnih programa

    Za preuzimanje uslužnih programa koji uklanjaju Winlockere i snimaju ih na disk, trebat će vam drugo, nezaraženo računalo ili prijenosno računalo. Zamolite susjeda, suborca ​​ili prijatelja da se posluži svojim računalom sat ili dva. Opskrbite se 3-4 prazna diska (CD-R ili DVD-R).

    Savjet! Ako čitate ovaj članak u informativne svrhe i vaše je računalo, hvala Bogu, živo i zdravo, svejedno preuzmite pomoćne programe za liječenje o kojima se govori u ovom članku i spremite ih na diskove ili flash disk. Pripremljeni "komplet prve pomoći" udvostručuje vaše šanse da pobijedite virusni banner! Brzo i bez nepotrebnih briga.

    1. Idite na službenu web stranicu programera uslužnih programa - antiwinlocker.ru.

    2. Uključeno početna stranica Pritisnite gumb AntiWinLockerLiveCd.

    3. Popis poveznica za preuzimanje distribucija programa otvorit će se u novoj kartici preglednika. U stupcu “Slike diska za liječenje zaraženih sustava” slijedite poveznicu “Preuzmite AntiWinLockerLiveCd sliku” s brojem starije (nove) verzije (na primjer, 4.1.3).

    4. Preuzmite sliku u ISO formatu na svoje računalo.

    5. Snimite ga na DVD-R/CD-R u ImgBurn ili Nero koristeći funkciju "Snimi sliku na disk". ISO slika mora biti napisana u nepakiranom obliku kako bi se dobila disk za pokretanje.

    6. Ubacite disk s AntiWinLockerom u računalo na kojem je banner pokrenut. Ponovno pokrenite OS i idite u BIOS (saznajte prečac za prijavu u odnosu na vaše računalo; moguće opcije su “Del”, “F7”). Postavite pokretanje s nečeg drugog osim tvrdog diska ( sistemska particija C), ali s DVD pogona.

    7. Ponovo pokrenite računalo. Ako ste sve učinili ispravno - ispravno snimili sliku na disk, promijenili postavku pokretanja u BIOS-u - na monitoru će se pojaviti izbornik uslužnog programa AntiWinLockerLiveCd.

    8. Da biste automatski uklonili ransomware virus sa svog računala, kliknite gumb "START". To je sve! Nisu potrebne druge radnje - uništenje jednim klikom.

    9. Na kraju postupka uklanjanja, komunalno će poduzeće dati izvješće o obavljenom poslu (koje je usluge i datoteke deblokirao i dezinficirao).

    10. Zatvorite pomoćni program. Prilikom ponovnog pokretanja sustava, ponovno idite u BIOS i odredite pokretanje s tvrdog diska. Pokrenite OS u normalnom načinu rada i provjerite njegovu funkcionalnost.

    Windows Unlocker (Kaspersky Lab)

    1. Otvorite stranicu sms.kaspersky.ru (mjesto ureda tvrtke Kaspersky Lab) u svom pregledniku.

    2. Pritisnite gumb “Download WindowsUnlocker” (nalazi se ispod natpisa “Kako ukloniti banner”).

    3. Pričekajte dok se slika diska za pokretanje programa Kaspersky Rescue Disk s uslužnim programom WindowsUnlocker ne preuzme na vaše računalo.

    4. Zapiši ISO slika na isti način kao i uslužni program AntiWinLockerLiveCd - napravite disk za pokretanje.

    5. Konfigurirajte BIOS zaključanog računala za pokretanje s DVD pogona. Umetnite Kaspersky Rescue Disk LiveCD i ponovno pokrenite sustav.

    6. Za pokretanje uslužnog programa pritisnite bilo koju tipku, a zatim pomoću strelica pokazivača odaberite jezik sučelja (“ruski”) i pritisnite “ENTER”.

    7. Pročitajte uvjete ugovora i pritisnite tipku “1” (slažem se).

    8. Kada se radna površina programa Kaspersky Rescue Disk pojavi na ekranu, kliknite na krajnju lijevu ikonu na programskoj traci (slovo “K” na plavoj pozadini) da otvorite izbornik diska.

    9. Odaberite “Terminal”.

    10. U prozoru terminala (root:bash), u blizini upita “kavrescue ~ #”, unesite “windowsunlocker” (bez navodnika) i aktivirajte direktivu tipkom “ENTER”.

    11. Pojavljuje se izbornik pomoćnih programa. Pritisnite "1" (Otključaj Windows).

    12. Nakon otključavanja zatvorite terminal.

    13. Već postoji pristup OS-u, ali virus je još uvijek besplatan. Da biste ga uništili, učinite sljedeće:

    • spojiti se na internet;
    • pokrenite prečac "Kaspersky Rescue Disk" na radnoj površini;
    • ažurirati baze podataka antivirusnih potpisa;
    • odaberite objekte koje je potrebno provjeriti (preporučljivo je provjeriti sve elemente popisa);
    • kliknite lijevom tipkom miša za aktiviranje funkcije “Skeniraj objekte”;
    • Ako se otkrije ransomware virus, među predloženim radnjama odaberite "Izbriši".

    14. Nakon tretmana, u glavnom izborniku diska kliknite na “Isključi”. Kada se OS ponovno pokrene, idite u BIOS i postavite da se pokreće s HDD (tvrdog diska). Spremite svoje postavke i pokrenite Windows kao i obično.

    Usluga otključavanja računala od Dr.Weba

    Ova metoda uključuje pokušaj prisiljavanja winlockera na samouništenje. Odnosno, dajte mu ono što traži - kod za otključavanje. Naravno, ne morate trošiti novac da biste ga dobili.

    1. Zapišite novčanik ili telefonski broj koji su napadači ostavili na natpisu za kupnju koda za otključavanje.

    2. Prijavite se s drugog, “zdravog” računala na uslugu otključavanja Dr.Web - drweb.com/xperf/unlocker/.

    3. Unesite prepisani broj u polje i kliknite gumb "Traži kodove". Usluga će automatski odabrati kod za otključavanje prema vašem zahtjevu.

    4. Prepišite/kopirajte sve kodove prikazane u rezultatima pretraživanja.

    Pažnja! Ako ne možete pronaći nijedan u bazi podataka, upotrijebite preporuku Dr.Weba da sami uklonite Winlocker (slijedite poveznicu koja se nalazi ispod poruke “Nažalost, na vaš zahtjev...”).

    5. Na zaraženom računalu u banner “sučelje” unesite šifru za otključavanje koju ste dobili od usluge Dr.Web.

    6. Ako se virus sam uništi, ažurirajte antivirusni program i skenirajte sve particije tvrdog diska.

    Upozorenje! Ponekad banner ne reagira na unos koda. U tom slučaju morate upotrijebiti drugu metodu uklanjanja.

    Uklanjanje natpisa MBR.Lock

    MBR.Lock je jedan od najopasnijih winlockera. Modificira podatke i kod glavnog zapisa za pokretanje tvrdog diska. Mnogi korisnici, ne znajući kako ukloniti ovu vrstu banner ransomwarea, počinju ponovno instalirati Windows u nadi da će se nakon ovog postupka njihovo računalo "oporaviti". Ali, nažalost, to se ne događa - virus nastavlja blokirati OS.

    Da biste se riješili MBR.Lock ransomwarea, slijedite ove korake (opcija za Windows 7):
    1. Umetnite instalacijski disk sustava Windows (bilo koja verzija ili nadogradnja će poslužiti).

    2. Idi na BIOS računala(prečac za ulazak u BIOS potražite u tehničkom opisu vašeg računala). U prvom postavu Uređaj za pokretanje instalirati “Cdrom” (pokretanje s DVD pogona).

    3. Nakon ponovnog pokretanja sustava, učitat će se instalacijska disketa Windows 7. Odaberite vrstu sustava (32/64 bit), jezik sučelja i kliknite “Dalje”.

    4. Na dnu zaslona, ​​pod opcijom "Instaliraj", kliknite "Vraćanje sustava".

    5. Na ploči "Mogućnosti oporavka sustava" ostavite sve nepromijenjeno i ponovno kliknite "Dalje".

    6. Odaberite opciju "Command Prompt" iz izbornika Tools.

    7. U naredbeni redak unesite naredbu - bootrec /fixmbr, a zatim pritisnite Enter. Uslužni program sustavaće prebrisati zapis pokretanja i time uništiti zlonamjerni kod.

    8. Zatvorite naredbeni redak i kliknite "Restart".

    9. Skenirajte svoje računalo na viruse koristeći Dr.Web CureIt! ili Virus Alat za uklanjanje(Kaspersky).

    Vrijedno je napomenuti da postoje i drugi načini liječenja računala iz Winlockera. Što više alata imate u svom arsenalu za borbu protiv ove infekcije, to bolje. Općenito, kako kažu, Bog štiti oprezne - ne iskušavajte sudbinu: ne idite na sumnjiva mjesta i ne instalirajte softver nepoznatih proizvođača.

    Neka vaše računalo izbjegne natpise s ransomwareom. Sretno!

    Nakon ponovnog pokretanja računala, monitor prikazuje zahtjev za slanje plaćenog SMS-a, ili uplatu novca na račun mobilnog telefona?

    Upoznajte ovo, ovako izgleda tipičan ransomware virus! Ovaj virus dolazi u tisućama različitih oblika i stotinama varijacija. No, lako ga je prepoznati po jednostavnom znaku: traži da stavite novac (nazovete) na nepoznati broj, a zauzvrat obećava da će vam otključati računalo.Što uraditi?

    Prvo shvatite da se radi o virusu čija je svrha isisati što više iz vas. više novca. Zato nemojte nasjedati na njegove provokacije.

    Zapamtite jednostavnu stvar, ne šaljite nikakav SMS. Oni će povući sav novac koji je na saldu (obično zahtjev kaže 200-300 rubalja). Ponekad traže da pošaljete dva, tri ili više SMS-a. Zapamtite, virus neće nestati s vašeg računala, bez obzira na to šaljete li novac prevarantima ili ne. Trojanac winloc ostat će na vašem računalu dok ga sami ne uklonite.

    Akcijski plan je sljedeći: 1. Uklonite blokadu s računala 2. Uklonite virus i liječite računalo.

    Načini za otključavanje vašeg računala:

    1. Unesite kod za otključavanje I. Najčešći način rješavanja nepristojnog natpisa. Kod možete pronaći ovdje: Dr.web, Kasperskiy, Nod32. Ne brinite ako kôd ne radi, prijeđite na sljedeći korak.

    2. Pokušajte se pokrenuti u sigurnom načinu rada. Da biste to učinili, nakon uključivanja računala pritisnite F8. Kada se pojavi prozor s opcijama pokretanja, odaberite "siguran način rada s podrškom za upravljačke programe" i pričekajte da se sustav pokrene.

    2a. Sada pokušajmo vratiti sustav(start-standard-system-restore) na raniju kontrolnu točku. 2b. Napravite novu račun. Idite na Start - Upravljačka ploča - Računi. Dodajte novi račun i ponovno pokrenite računalo. Kada ga uključite, odaberite novostvoreni račun. Prijeđimo na .

    3. Pokušajte ctrl+alt+del- trebao bi se pojaviti upravitelj zadataka. Pomoćne programe za liječenje pokrećemo putem upravitelja zadataka. (odaberite datoteku - novi zadatak i naše programe). Drugi način je da držite Ctrl + Shift + Esc i dok držite ove tipke tražite i brišete sve čudne procese dok se desktop ne otključa.

    4. Najviše pouzdan način - To znači instaliranje novog OS-a (operativnog sustava). Ako apsolutno trebate zadržati stari OS, tada ćemo razmotriti radno intenzivniji način rješavanja ovog natpisa. Ali ništa manje učinkovito!

    Drugi način (za napredne korisnike):

    5. Dizanje s diska LiveCD koji ima program za uređivanje registra. Sustav se pokrenuo, otvorite uređivač registra. U njemu ćemo vidjeti registar trenutnog sustava i zaraženog (njegove grane s lijeve strane prikazane su s potpisom u zagradama).

    Nalazimo ključ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - tamo tražimo Userinit - brišemo sve iza zareza. PAŽNJA! Sama datoteka “C:\Windows\system32\userinit.exe” NE MOŽE se izbrisati.);

    Pogledajte vrijednost ključa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell trebao bi biti explorer.exe. Završili smo s registrom.

    Ako se pojavi pogreška "Uređivanje registra je zabranjeno od strane administratora sustava", preuzmite program AVZ. Otvorite "Datoteka" - "Vraćanje sustava" - označite "Otključaj uređivač registra", zatim kliknite "Izvrši odabrane radnje". Urednik je ponovno dostupan.

    Pokrećemo Kaspersky alat za uklanjanje i dr.web cureit i skeniramo cijeli sustav s njima. Sve što preostaje je ponovno podizanje sustava i povratak postavke biosa. Međutim, virus još NIJE uklonjen s računala.

    Liječenje vašeg računala od trojanskog WinLocka

    Za ovo nam je potrebno:
    - ReCleaner uređivač registra
    - popularan antivirus Kaspersky alat za uklanjanje
    - poznati antivirusni lijek Dr.web
    - učinkovit antivirusni Removeit pro
    - Plstfix uslužni program za popravak registra
    - Program za uklanjanje privremenih datoteka ATF cleaner

    1. Potrebno je riješiti se virusa u sustavu. Da biste to učinili, pokrenite uređivač registra. Idite na Izbornik - Zadaci - Pokreni uređivač registra. Treba pronaći:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - tamo tražimo odjeljak Userinit - brišemo sve iza zareza. PAŽNJA! Sama datoteka “C:\Windows\system32\userinit.exe” NE MOŽE se izbrisati.);

    Pogledajte vrijednost ključa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell tamo bi trebao biti explorer.exe. Završili smo s registrom.

    Sada odaberite karticu "Pokretanje". Pregledamo stavke za pokretanje, označimo okvire i izbrišemo (donji desni kut) sve što niste instalirali, ostavljajući samo desktop i ctfmon.exe. Preostali svchost.exe i other.exe procesi iz Windows direktorija moraju biti uklonjeni.
    Odaberite Zadatak - Očisti registar - Koristi sve opcije. Program će skenirati cijeli registar i sve trajno izbrisati.

    2. Da bismo pronašli sam kod, potrebni su nam sljedeći uslužni programi: Kaspersky, Dr.Web i RemoveIT. Napomena: RemoveIT će od vas tražiti da ažurirate baze virusnih definicija. Potrebno je uspostaviti internetsku vezu dok se ažurira!
    Ovim programima skeniramo sistemski disk i brišemo sve što nađu. Ako želite, za svaki slučaj možete provjeriti sve pogone računala. Trajat će mnogo duže, ali je pouzdaniji.

    3. Sljedeći uslužni program je Plstfix. Vraća registar nakon naših radnji na njemu. Kao rezultat toga, upravitelj zadataka i sigurni način rada ponovno će početi raditi.

    4. Za svaki slučaj izbrišite sve privremene datoteke. Često su kopije virusa skrivene u tim mapama. Ovako ih čak ni dobro poznati antivirusi možda neće otkriti. Bolje je ručno ukloniti sve što neće značajno utjecati na rad sustava. Instalirajte ATF Cleaner, označite sve i obrišite.

    5. Ponovno pokrenite sustav. Sve radi! još bolje nego prije :).

    Trojanci Winlocker vrsta su zlonamjernog softvera koji blokiranjem pristupa radnoj površini iznuđuje novac od korisnika - navodno ako prebaci traženi iznos na račun napadača, dobit će kod za otključavanje.

    Ako nakon što uključite računalo umjesto radne površine vidite:

    Ili nešto drugo u istom duhu - prijetećim natpisima, a ponekad i nepristojnim slikama, nemojte žuriti optuživati ​​svoje najdraže za sve grijehe.

    Oni, a možda i vi sami, postali su žrtve ransomwarea.

    Kako blokatori ransomwarea dospijevaju na vaše računalo?

    Blokatori najčešće dospijevaju na vaše računalo na sljedeće načine:

    • putem hakiranih programa, kao i alata za hakiranje plaćenog softvera (crackovi, keygens, itd.);
    • preuzeto preko poveznica iz poruka na društvenim mrežama, koje su navodno poslali poznanici, a zapravo napadači sa hakiranih stranica;
    • preuzeti s phishing web izvora koji oponašaju dobro poznata mjesta, ali su zapravo stvoreni posebno za širenje virusa;
    • dolaze e-mailom u obliku privitaka uz pisma intrigantnog sadržaja: “tuženi ste...”, “slikani ste na mjestu zločina”, “osvojili ste milijun” i slično.

    Pažnja! Pornografski natpisi ne preuzimaju se uvijek s pornografskih stranica. Mogu oni to od najobičnijih.

    Druga vrsta ransomwarea širi se na isti način - blokatori preglednika. Na primjer, ovako:

    ili ovako:

    Traže novac za pristup pregledavanju interneta putem preglednika.

    Kako ukloniti natpis “Windows blokiran” i slične?

    Kada je vaša radna površina blokirana i poruka o virusu sprječava pokretanje bilo kojeg programa na vašem računalu, možete učiniti sljedeće:

    • idite u sigurni način rada s podrškom za naredbeni redak, pokrenite uređivač registra i izbrišite tipke za automatsko pokretanje natpisa.
    • dignite se s Live CD-a ("live" disk), na primjer, ERD commander, i uklonite banner s računala kroz registar (autorun tipke) i kroz Explorer (datoteke).
    • skenirajte sustav s disketa za pokretanje s antivirusom, na primjer Dr.Web LiveDisk ili Kaspersky Rescue Disk 10.

    Metoda 1. Uklanjanje Winlockera iz sigurnog načina rada s podrškom za konzolu.

    Dakle, kako ukloniti banner s računala putem naredbenog retka?

    Na strojevima s Windows XP i 7 prije pokretanja sustava potrebno je brzo pritisnuti tipku F8 i odabrati označenu stavku iz izbornika (u Windows 8\8.1 ne postoji ovaj izbornik pa ćete se morati dignuti s instalacijski disk i od tamo pokrenite naredbeni redak).

    Umjesto desktopa, pred vama će se otvoriti konzola. Da biste pokrenuli uređivač registra, unesite naredbu u njega regedit i pritisnite Enter.

    Zatim otvorite uređivač registra, pronađite u njemu unose virusa i popravite ih.

    Najčešće su ransomware banneri registrirani u sljedećim odjeljcima:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- ovdje mijenjaju vrijednosti parametara Shell, Userinit i Uihost (zadnji parametar dostupan je samo u sustavu Windows XP). Morate ih popraviti u normalu:

    • Shell = Explorer.exe
    • Userinit = C:\WINDOWS\system32\userinit.exe, (C: je slovo sistemske particije. Ako je Windows na disku D, put do Userinit-a počet će s D:)
    • Uihost = LogonUI.exe

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- pogledajte parametar AppInit_DLLs. Normalno, može biti odsutan ili imati praznu vrijednost.

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- ovdje ransomware stvara novi parametar s vrijednošću u obliku staze do datoteke blokatora. Naziv parametra može biti niz slova, na primjer, dkfjghk. Potrebno ga je potpuno ukloniti.

    Isto vrijedi i za sljedeće odjeljke:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

    Da biste ispravili ključeve registra, desnom tipkom miša kliknite parametar, odaberite "Promijeni", unesite novu vrijednost i kliknite U redu.

    Nakon toga ponovno pokrenite računalo u normalnom načinu rada i pokrenite antivirusno skeniranje. Uklonit će sve ransomware datoteke s vašeg tvrdog diska.

    Metoda 2. Uklanjanje Winlockera pomoću ERD Commandera.

    ERD commander sadrži velik skup alata za Windows oporavak, uključujući i oštećenje trojanskih blokatora.

    Koristeći ugrađeni uređivač registra ERDregedit, možete izvoditi iste operacije kao što smo gore opisali.

    ERD commander bit će neophodan ako je Windows zaključan u svim modovima. Kopije se ilegalno distribuiraju, ali ih je lako pronaći na internetu.

    Kompleti ERD zapovjednika za svakoga Windows verzije nazvane MSDaRT (Microsoft Diagnostic & Recovery Toolset) diskete za pokretanje, dolaze u ISO formatu, što je zgodno za snimanje na DVD ili prijenos na flash pogon.

    Nakon dizanja s takvog diska potrebno je odabrati svoju verziju sustava te otići na izbornik i kliknuti Registry Editor.

    U sustavu Windows XP procedura je malo drugačija - ovdje je potrebno otvoriti izbornik Start, odabrati Administrativni alati i Registry Editor.

    Nakon uređivanja registra ponovno pokrenite Windows - najvjerojatnije nećete vidjeti natpis "Računalo je blokirano".

    Metoda 3. Uklanjanje blokatora pomoću antivirusnog "diska za spašavanje".

    Ovo je najlakši, ali i najduži način otključavanja.

    Dovoljno je snimiti Dr.Web LiveDisk ili Kaspersky Rescue Disk image na DVD, pokrenuti se s njega, pokrenuti skeniranje i pričekati da završi. Virus će biti ubijen.

    Uklanjanje bannera s računala pomoću Dr.Web i Kaspersky diskova jednako je učinkovito.

    Zamislimo se redoviti korisnik Računalo. Riječ je o osobi koja najčešće ima minimalno znanje o zaštiti svog uređaja od virusa. Unatoč tome, on “putuje” na sva željena mjesta, prati predložene poveznice, uopće ne razmišljajući o mogućoj opasnosti svojih postupaka. I u jednom trenutku pred sobom ugleda sljedeću sliku: ekran računala je zaključan, a napadači traže novac da ga otključaju. Što učiniti, kako ukloniti banner?

    Razlozi za blokiranje. Zašto ovo ikome treba?

    Postoji nekoliko načina za zaključavanje vašeg računala. Najčešće se to događa zbog toga što korisnik posjećuje pornografske stranice ili preuzima i instalira malware koji se distribuira diljem svijeta. Kao rezultat toga, ako vam se to dogodi prvi put, možda ćete se čak i bojati onoga što se pojavljuje na zaslonu računala. Poruka vas može optužiti za prikupljanje ilegalnih informacija na internetu i mnoge druge grijehe. Zatim će vas tražiti da platite opciju otključavanja. Oni će vam detaljno reći gdje i koliko prenijeti novac za to. Tražena cijena je od 500 do 2000 rubalja. Ali najvažnije je da vam nakon slanja SMS-a nitko ništa neće odblokirati. Dakle, ne morate nikome ništa platiti. Na ovaj trenutak vrijeme, postoji nekoliko načina da sami riješite problem, bez bacanja novca.

    Koje su opasnosti zaključavanja Windowsa?

    Prvo, ovaj se problem može dogoditi samo s nelicenciranom verzijom operacijski sustav. Licenca se stalno i redovito ažurira, tako da je sigurnije zaštićena. Takav virus se stalno usavršava, odnosno postaje sve opasniji kako bi svojim autorima ostvario prihod. Zašto je toliko opasan? Činjenica da nije samo registrirana u pokretanju, već je "zakopana" mnogo dublje, zahvaljujući čemu može raditi pri učitavanju samo usluga i upravljačkih programa, kao iu sigurnom načinu rada. Nakon ovoga vrlo je teško natjerati uređaj da radi. Ali ipak, ovo nije sasvim beznadna stvar. Pogledajmo nekoliko načina za oživljavanje vašeg računala, kako ukloniti banner i ponovno dobiti priliku za puni rad.

    Otključajte Windows uz Malwarebytes Anti-Malware

    Ova metoda ne osigurava uvijek izvršenje zadatka. U ovom slučaju možete koristiti drugu metodu.

    Uklanjanje virusa pomoću Dr.Web LiveCD

    Jedna je stvar kada virus od vas zahtijeva da pošaljete plaćeni SMS da biste otključali svoje računalo. U tom slučaju, ponekad nakon plaćanja problem se može riješiti. Nije uopće činjenica, kao što je već napisano, ali postoji mogućnost.

    Druga je stvar kada je vaš uređaj zaražen malwareom koji se zove Winlock. Ovaj virus može lako izbrisati sve vaše podatke, pa čak i optužiti vas za distribuciju pornografije. Ali najgore je što blokira sustav i prije pokretanja operativnog sustava. Odnosno, gore navedena metoda ne može se primijeniti ovdje. Ništa, koristit ćemo drugu opciju za uništavanje infekcije - disk za pokretanje naše omiljene tvrtke Dr.Web. Kreirajmo takav disk i počnimo.

    1. Umetnemo ga u pogon i zatim ponovno pokrenemo uređaj.
    2. Ako se pojavi virus, što je moguće, idite u BIOS, gdje ga postavljamo da se pokreće s flash pogona ili pogona. Ponovno se pokrećemo.
    3. Sada će, najvjerojatnije, sve biti u redu. Postavite jezik na ruski i krenite dalje.
    4. Morate pričekati neko vrijeme da se preuzme. Pojavit će se antivirusni prozor. Kliknite gumb "Idi" nasuprot "Skener".
    5. Započelo je skeniranje računala na viruse. Čekamo da Dr.Web pronađe naš ransomware i ukloni ga. Nakon ovoga biramo puna provjera i pokrenite ga.
    6. Kada antivirus otkrije prijetnju, obavijestit će nas.

    Na kraju, koristeći Dr.Web LiveCD dezinficiramo registar, i obrnuto. Ponekad ransomware virus nestane nakon toga i više nema potrebe za pokretanjem potpunog skeniranja. Pokušavamo upaliti računalo i nadamo se da smo završili zadatak uklanjanja bannera. Windowsi više ne bi trebali biti blokirani; to je prošlost. I savladali smo drugu metodu borbe protiv virusa.

    Kodovi za otključavanje i uslužni program Avz

    Postoji opcija koja nam u nekim slučajevima također može pomoći. Kodovi za otključavanje OS-a objavljeni su na web stranici Dr.Web. Moramo odabrati snimku zaslona našeg virusa s popisa i vidjet ćemo potreban kod. Također možete unijeti telefonski broj na koji želite poslati SMS, kliknuti na pretragu - i dobit ćemo kod. Nakon otključavanja morate dezinficirati računalo pomoću običnog antivirusa. Ako to ne uspije, možete upotrijebiti dobro poznati uslužni program Avz.

    1. Za to su nam potrebni: disk/flash pogon i računalo.
    2. Preuzmite i spremite uslužni program na prijenosni medij.
    3. Odaberite opciju pokretanja "Zaštićeno s podrškom za naredbeni redak" pritiskom na F8 na početku procesa.
    4. Ako je proces normalan, pojavit će se naredbeni redak.
    5. Umetnemo prijenosni medij u uređaj.
    6. Napišemo explorer i pritisnemo tipku enter.
    7. Pred nama je “Moje računalo”.
    8. Nalazimo na prijenosni medij uslužni program avz.exe i pokrenite ga.
    9. Pratimo tečaj: "Datoteka - Čarobnjak za rješavanje problema, Problemi sa sustavom - Svi problemi", potvrdite sve okvire osim "Onemogućeno" automatsko ažuriranje sustav" i sve "Dopušteno automatsko pokretanje od...". Nakon toga kliknite "Popravi zapažene probleme".
    10. Također provjeravamo sve probleme u "Postavke i podešavanja preglednika" i kliknemo "Popravi".
    11. U odjeljku "Privatnost", po analogiji, bilježimo sve probleme.
    12. Ostati u avz, zatvoriti prozor. Kliknite "Service", zatim kliknite "Explorer Extensions Manager" i poništite sve crne stavke.
    13. Sada uključite "Service", a zatim "IE Extension Manager". Ispred nas se pojavljuje popis, brišemo sve retke.
    14. Ponovno pokrećemo računalo, nakon čega najvjerojatnije više neće biti problema. Pokrećemo tradicionalni antivirusni program da ga očistimo. Problem kako ukloniti banner je riješen.

    Zaključak

    Ovo nisu jedini načini uklanjanja ransomwarea. Možete koristiti skripte, Kasperskyjev alat za uklanjanje virusa i ponovno instalirati operativni sustav. Također se događa da brisanje bannera nije bezbolno za računalo. Radna površina može biti prazna i kursor miša neće raditi. Prva opcija za ispravljanje ovih grešaka je siguran način rada i dezinfekcija uređaja ispod njega. Ali ovo ne pomaže uvijek. U tom slučaju trebate pokrenuti računalo s prijenosnog medija. Windows za to ima posebne distribucije. Pokrećemo i liječimo uređaj. Sada smo konačno shvatili kako ukloniti banner s radne površine. Važan savjet: opisani tretman nije jednostavan za “nenaprednog” korisnika računala. Za takve ljude, ako nisu sigurni u svoje sposobnosti, bolje je obratiti se stručnjacima.

    U naše vrijeme informacijske tehnologije Računala su uvedena u gotovo sva područja ljudske djelatnosti. Suvremeni život više nije moguće zamisliti bez ovog čuda tehnike.

    Međutim, računala su već dugo meta napadača. Vjerojatno se svaki drugi korisnik interneta susreo računalni virusi. "Uhvatiti" ih nije teško, jer čak i većina najbolji antivirusi nisu uvijek u stanju prepoznati i neutralizirati ih malware. Ponekad čak i na naizgled sigurnim stranicama možete uhvatiti jedan ili više virusa.

    Neiskusni korisnici interneta često instaliraju programe iz nepoznati izdavači sa sumnjivih stranica, što dovodi do zaraze njihovih računala zlonamjernim kodom dizajniranim za specifične svrhe: krađa osobnih podataka i lozinki s raznih izvora, korištenje računala kao kontroliranog stroja, slanje neželjene pošte, počinjenje hakerski napadi i tako dalje.

    Vrlo često se virusi koriste za iznuđivanje novca. Uz obične viruse, u posljednje vrijeme postali su “popularni” banner virusi. Ako obični zlonamjerni softver možda ne ometa normalan rad računala, već jednostavno "jede" Exe datoteke, krade lozinke, mijenja datoteke i radi druge stvari, tada banner virusi često blokiraju cijelu radnu površinu, sprječavajući vas da bilo što učinite.

    Prvo, odmah blokiraju upravitelja zadataka tako da ih iz njega ne možete isprazniti RAM memorija. Drugo, banner virusi mogu pokriti cijelu radnu površinu, čineći nemogućim ulazak u izbornik operativnog sustava ili otvaranje bilo kojeg programa. Ali događa se da pokrivaju, na primjer, samo četvrtinu radne površine, ali kursor se ne može pomaknuti izvan granica bannera. Stoga napadači žele eliminirati svaku mogućnost da ih izbrišu zlonamjerni kod s vašeg računala.

    Banner virus je prozor koji obično traži da pošaljete SMS poruku broj ćelije ili prebaciti novac u elektroničke novčanike. Ni pod kojim okolnostima to ne smijete učiniti, inače ćete izgubiti od 200 do 1000 rubalja (ovisno o određenim čimbenicima), a banner će ostati na vašoj radnoj površini jer napadači možda neće poslati kod za uklanjanje bannera. Usput, ponekad banner kaže da ako ne pošaljete SMS poruku u roku od 24 sata, operativni sustav se više nikada neće pokrenuti. Ovo također nije za vjerovati.

    Nemojte žuriti da odmah ponovno instalirate sustav. Naravno, na prvi pogled to se čini najviše jednostavno rješenje, no isplati li se? Uostalom, nakon ponovne instalacije, svi vaši dokumenti i ostalo važne datoteke, a sama instalacija će potrajati. A nakon toga morat ćete vratiti sve programe koji su bili na pogonu sustava.

    To će trajati otprilike pola sata, ovisno o operativnom sustavu i broju aplikacija koje trebate. Windows instalacija 7 u prosjeku traje 15 minuta, a Windows XP se instalira za 20-30 minuta. Razmislite trebate li gubiti vrijeme na ponovnu instalaciju OS-a ako možete bez njega?

    Banner virus može se ukloniti na različite načine:

    1. Razni pomoćni programi za iscjeljivanje popularnih antivirusnih kreatora;
    2. Unosom koda u banner polje. Popis kodova za različite bannere dostupan je na web stranicama istih proizvođača antivirusnog softvera (Kaspersky i Doctor Web);
    3. Ručno.

    Vrijedno je napomenuti da prve dvije metode mogu biti neučinkovite, posebno druga. Napadači ne miruju i stalno ažuriraju svoje viruse, tako da kodovi predstavljeni na web stranicama antivirusnih programa možda neće raditi.

    Banner viruse najbolje je ukloniti ručno. Ovo je najjednostavniji i učinkovita metoda. Ali ne može to svatko jer ne zna kako. U ovom slučaju, ključ za spas vašeg računala je "siguran način rada". Ovaj način će vam omogućiti da pronađete i uklonite virus.

    Kada pokrenete računalo, morate pritisnuti tipku F8. Trebalo bi se pojaviti nekoliko opcija sigurnog načina rada. Ovdje trebate odabrati ili samo "siguran način rada" ili "siguran način rada s pokretanjem" mrežni upravljački programi" U drugom slučaju, kada uključite računalo, Internet će vam biti dostupan, au prvom slučaju će biti onemogućen.

    Usput, neki banner virusi mogu čak raditi u sigurnom načinu rada, pa ako se to dogodi, morat ćete ponovno pokrenuti računalo i odabrati drugu vrstu sigurnog načina rada. Prije ili kasnije, ovaj dosadni banner se ionako neće učitati, a možete ga lako pronaći i neutralizirati.

    Dakle, prva stvar koju trebate učiniti u sigurnom načinu rada je omogućiti prikazivanje skrivenih datoteka, jer to u većini slučajeva čine virusi skrivene datoteke. "Stanište" banner virusa obično su sljedeće mape sistemski disk: Programske datoteke, Windows/System32, Moji dokumenti i druga mjesta. Tamo ih je vrlo lako pronaći.

    Prvo što trebate učiniti je pogledati ima li ondje sumnjivih datoteka. Ako vidite, na primjer, takvu datoteku "452364qfegagrhwa", onda je to virus, jer u većini slučajeva ti maliciozni programi imaju nazive koji su besmisleni skup brojeva i slova.

    Također morate pogledati ekstenziju (format) sumnjive datoteke. Ponekad izgleda ovako - "banner". U ovom slučaju odmah je jasno da se radi o virusu. Neizravne sumnje o zaraženoj datoteci mogu se sugerirati njezinom veličinom. Ako je mala, reda veličine nekoliko bajtova ili kilobajta, odmah postaje jasno da je ova datoteka najvjerojatnije zaražena.

    Najjednostavnija metoda otkrivanja virusa je datum izmjene mapa i datoteka. Ako vaša pretraživanja ne dovedu do ničega, tada možete jedan po jedan pokazivačem prelaziti preko korijenskih mapa pogona sustava i vidjeti koji je njihov datum izmjene. Složite se da virus ne može biti u mapi koja je promijenjena prije mjesec ili godinu dana. Ako je vaše računalo bilo zaraženo natpisom prije 20 minuta, tada, prema tome, morate potražiti mapu i datoteku koje su promijenjene prije točno 20 minuta. Ako se nađe potrebna datoteka, onda ga slobodno izbrišite. A ako i dalje sumnjate u ispravnost odabira datoteke, možete je kopirati i spremiti na radnu površinu.

    Međutim, neke bannere je vrlo teško otkriti, jer su ponekad maskirani kao određeni program, točnije, kao komponenta programa koja ima istu “težinu”, isti naziv i isti format. Ovdje je najbolje provjeriti svoje računalo antivirusom, ili još bolje, ne samo jednim, već nekoliko odjednom. Da biste to učinili, možete pokrenuti računalo u sigurnom načinu rada s podrškom za mrežne upravljačke programe, preuzeti uslužni program za iscjeljivanje, na primjer, Dr.Web CureIt, i njime skenirati cijelo računalo.

    Ali uopće ne morate pribjegavati svim gore navedenim metodama. Uostalom, kao što znate, učinkovitije je ne nositi se s posljedicama, već ukloniti njihov glavni uzrok. Kako biste zaštitili svoje računalo, morate slijediti nekoliko jednostavnih preporuka:

    • Ne idite na sumnjive stranice;
    • Koristite najnoviji antivirusni softver antivirusne baze podataka;
    • Nemojte pokretati sumnjive datoteke;
    • Nemojte pristati na instaliranje dodataka za gledanje videa i animacija, osim Adobe flash player (bolje ga je preuzeti sa službene web stranice).

    Ako slijedite sva ova pravila, vjerojatnost ulaska virusa u vaše računalo bit će minimalna. Uvijek strogo pratite što instalirate i ne posjećujte sumnjive stranice. Usput, osim antivirusa, oni upozoravaju na sumnjive stranice i čak ih blokiraju moderni preglednici, tako da je sada vrlo teško "uhvatiti" banner virus.

    Budite oprezni i tada niti jedan virus neće prodrijeti u vaše računalo!