###
  • Programok
  • Biztonság
  • hírek
  • Érdekes
  • Tippek
  • hírek
  • Vélemények

    • Hogyan lehet megszabadulni a ransomware bannertől. Önállóan eltávolítjuk a bannert a számítógépről. Indítólemez vagy flash

    18.11.2019 Érdekes

    Kérem részvételét a problémámban. A kérdésem a következő: Hogyan távolítsuk el a bannert: "SMS küldése", Windows 7 operációs rendszer. Egyébként a második rendszer az én Windows számítógép Az XP-t is blokkolta egy banner egy hónapja, szóval szerencsétlen felhasználó vagyok. Nem tudok csökkentett módba lépni, de sikerült belépnem a Számítógépes hibaelhárításba, és onnan futtatni a Rendszer-visszaállítást, és hibaüzenetet kaptam - A számítógép rendszermeghajtóján nincsenek visszaállítási pontok.

    A feloldó kód a Dr.Web webhelyen, valamint az ESET nem található. Nemrég eltávolítottak egy ilyen szalaghirdetést egy barátomtól a LiveCD ESET NOD32 System Recovery Disk segítségével, de az én esetemben ez nem segít. A Dr.Web LiveCD is próbálkozott. Egy évre előre állítottam az órát a BIOS-ban, a banner nem tűnt el. Az internet különböző fórumain javasolt a UserInit és a Shell paraméterek javítása a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon rendszerleíró ágban. De hogyan juthatok el oda? LiveCD-vel? Szinte minden LiveCD lemez nem csatlakozik az operációs rendszerhez, és az olyan műveletek, mint a rendszerleíró adatbázis szerkesztése, az indítási objektumok megtekintése, valamint az eseménynaplók ilyen lemezről nem érhetők el, vagy tévedek.

    Általánosságban elmondható, hogy van információ arról, hogyan lehet eltávolítani egy bannert az interneten, de alapvetően nem teljes, és nekem úgy tűnik, hogy sokan másolják ezt az információt valahova, és közzéteszik a webhelyükön, hogy egyszerűen legyen, de kérdezze meg hogyan működik az egész – vonják meg a vállukat. Szerintem ez nem a te eseted, de általában nagyon szeretném egyedül megtalálni és eltávolítani a vírust, elegem van a rendszer újratelepítéséből. És az utolsó kérdés: van-e alapvető különbség a ransomware szalaghirdetés eltávolításának módjai között Windows XP és Windows 7 operációs rendszerekben. Tudna segíteni?

    Hogyan távolítsuk el a bannert

    Jó néhány módszer létezik a vírus megszabadulására, Trojan.Winlocknak ​​is hívják, de ha Ön kezdő felhasználó, ezekhez a módszerekhez türelemre, kitartásra és annak megértésére van szükség, hogy az ellenség komolyan gondolja. te, ha nem félsz, kezdjük.

    • A cikk hosszúnak bizonyult, de minden, ami elhangzott, tényleg úgy működik, mint egy műtőben Windows rendszer 7, Windows XP-ben pedig, ha valahol eltérés van, ezt a pillanatot mindenképpen megjelölöm. A legfontosabb tudnivaló távolítsa el a bannertés visszaküldi az operációs rendszert - gyorsan, nem mindig sikerül, de hiába tesz pénzt a zsarolók számlájára, nem kap választ feloldó kódot, így van ösztönzés, hogy harcoljon a rendszeréért.
    • Barátaim, ebben a cikkben a környezetvédelemmel fogunk dolgozni Windows helyreállítás 7, pontosabban a helyreállítási környezet parancssorával. Kiadom a szükséges parancsokat, de ha nehezen tudod megjegyezni őket, megteheted. Ez nagyban megkönnyíti a munkáját.

    Kezdjük a legegyszerűbbel, és fejezzük be a legbonyolultabbal. Hogyan lehet eltávolítani a bannert a biztonságos mód . Ha az internetes szörfözés sikertelenül végződött, és véletlenül rosszindulatú kódot telepített magának, akkor a legegyszerűbb dologgal kell kezdenie - próbáljon meg Csökkentett módba lépni (sajnos a legtöbb esetben nem sikerül, de egy próbát megér), de Biztosan be tud majd lépni(valószínűbb), mindkét módban ugyanazt kell tennie, nézzük meg mindkét lehetőséget.

    A számítógép betöltésének kezdeti fázisában nyomd meg az F-8-at, majd válaszd, ha sikerül belépned, akkor elmondhatod, hogy nagy szerencséd van, és leegyszerűsödik a feladatod. Az első dolog, amit meg kell próbálnia, a visszaállítási pontok használatával való visszaállítása egy régebbi időre. Aki nem tudja, hogyan kell használni a rendszer-visszaállítást, olvassa el részletesen itt -. Ha a rendszer-visszaállítás nem működik, próbálkozzon mással.

    Írja be az msconfig parancsot a Futtatás mezőbe,

    Ne legyen semmi a mappában, . Vagy a címen található

    C:\Felhasználók\Felhasználónév\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

    Fontos jegyzet: Barátaim, ebben a cikkben elsősorban a Hidden attribútummal rendelkező mappákkal kell foglalkoznia (például AppData stb.), ezért amint belép Biztonságos mód vagy Csökkentett mód parancssori támogatással, azonnal kapcsolja be a rendszert rejtett fájlok és mappák megjelenítése, különben egyszerűen nem látja a szükséges mappákat, amelyekben a vírus rejtőzik. Ezt nagyon könnyű megtenni.

    Windows XP
    Nyisson meg egy mappát, kattintson az "Eszközök" menüre, válassza a "Mappabeállítások" lehetőséget, majd lépjen a "Nézet" fülre. Következő, a legalul jelölje be a "" elemet, és kattintson az OK gombra.

    Windows 7
    Start -> Vezérlőpult->Nézet: Kategória -Kis ikonok ->Mappabeállítások ->Nézet. Alul jelölje be a "" négyzetet Előadás rejtett fájlokés mappákat».

    Szóval vissza a cikkhez. Megnézzük a mappát, ne legyen benne semmi.

    Győződjön meg róla, hogy a meghajtó gyökerében (C :)) nincsenek ismeretlen és gyanús mappák és fájlok, például ilyen érthetetlen OYSQFGVXZ.exe néven, ha vannak, törölni kell azokat.

    Most figyelem: Windows XP rendszerben töröljük a gyanús fájlokat (a képernyőképen fent látható példa), amelyek furcsa nevekkel és

    .exe kiterjesztéssel a mappákból

    C:\
    C:\Dokumentumok és beállítások\Felhasználónév\Alkalmazásadatok
    C:\Dokumentumok és beállítások\Felhasználónév\Helyi beállítások
    C:\Dokumentumok és beállítások\Felhasználónév\Helyi beállítások\Temp    - törölj innen mindent, ez egy ideiglenes fájlok mappája.

    A Windows 7 rendelkezik jó szinten biztonság, és a legtöbb esetben nem teszi lehetővé a rosszindulatú programok módosítását a rendszerleíró adatbázisban, és a vírusok túlnyomó többsége is hajlamos bejutni az ideiglenes fájlok könyvtárába:
    C:\FELHASZNÁLÓK\felhasználónév\AppData\Local\Temp, innen futtatható a végrehajtható fájl.exe. Például egy fertőzött számítógépet idézek, a képernyőképen a 24kkk290347.exe vírusfájlt és a vírussal együtt szinte egy időben a rendszer által létrehozott másik fájlcsoportot látjuk, mindent törölni kell.

    Ne legyen bennük semmi gyanús, ha van, töröljük.

    És mindenképpen:

    A legtöbb esetben a fenti lépések eltávolítják a szalaghirdetést, és a rendszer normál módon elindul. Normál indítás után ellenőrizze a teljes számítógépét egy ingyenes víruskeresővel legújabb frissítések- Dr.Web CureIt, töltse le a Dr.Web oldalról.

    • Megjegyzés: A normál induló rendszert azonnal újra megfertőzheti vírussal, ha online lép fel, mivel a böngésző megnyitja a nemrég felkeresett webhelyek összes oldalát, köztük természetesen lesz vírusoldal és vírusfájl is. jelen lehet a böngésző ideiglenes mappáiban. Megtaláltuk, és amelyeket nemrég használt: C:\Felhasználók\Felhasználónév\AppData\Roaming\Böngészőnév, (például Opera vagy Mozilla) és még egy helyen C:\Felhasználók\Felhasználónév\AppData\Local\A böngésző neve, ahol (C:) a telepített operációs rendszerrel rendelkező partíció. Persze utána ezt az akciót minden könyvjelzője elveszik, de az újbóli fertőzés kockázata jelentősen csökken.

    Csökkentett mód parancssori támogatással.

    Ha mindezek után a bannered még mindig él, ne add fel, és olvass tovább. Vagy legalább menj a cikk közepére és nézd meg teljes körű tájékoztatást a rendszerleíró adatbázis beállításainak javításáról ransomware bannerrel való fertőzés esetén.

    Mi a teendő, ha nem tudok biztonságos módba lépni? Próbálja meg Csökkentett mód parancssori támogatással, ott ugyanazt csináljuk, de van különbség ban ben Windows parancsok XP és Windows 7.

    Alkalmazza a Rendszer-visszaállítást.
    Windows 7 rendszerben írja be az rstrui.exe-t, és nyomja meg az Enter billentyűt - belépünk a Rendszer-visszaállítás ablakba.

    Vagy próbálja beírni a parancsot: explorer - egyfajta asztal indul el, ahol megnyithatja a számítógépemet, és ugyanazt teheti, mint csökkentett módban - ellenőrizze a számítógépet vírusok szempontjából, nézze meg az Indító mappát és a lemez gyökerét (C: ), valamint a könyvtár ideiglenes fájljai: szükség szerint szerkessze a rendszerleíró adatbázist, és így tovább.

    A Windows XP rendszer-visszaállításba való belépéshez a parancssorba írja be: %systemroot%\system32\restore\rstrui.exe,

    a Windows XP-be való bejutáshoz az Explorerben és a Sajátgép ablakban, mint a hétben, beírjuk az explorer parancsot.


    itt először be kell írnia az explorer parancsot, és közvetlenül az asztalra kerül. Sokan nem tudják átállítani az alapértelmezett orosz billentyűzetkiosztást angolra a parancssorban az alt-shift kombinációval, majd fordítva próbálják meg a shift-alt kombinációt.

    Már itt lépjen a Start menübe, majd a Futtatás parancsra.


    majd válassza az Indítás lehetőséget - töröljön mindent róla, majd tegye meg mindazt, amit a lemez gyökerében (C:) tett, törölje a vírust az ideiglenes fájlok könyvtárából: C:\FELHASZNÁLÓK\felhasználónév\AppData\Local\Temp, szükség szerint szerkessze a rendszerleíró adatbázist ( az összes részletet fentebb leírtuk.).

    Rendszer-visszaállítás. A helyzet egy kicsit más lesz számunkra, ha nem tud belépni a csökkentett módba és a csökkentett módba parancssori támogatással. Ez azt jelenti, hogy Ön és én nem használhatjuk a rendszer-visszaállítást? Nem, ez nem jelenti azt, hogy a visszaállítási pontok használatával lehetséges a visszaállítás, még akkor is, ha az operációs rendszer nem indul el semmilyen módban. Windows 7 rendszerben a helyreállítási környezetet kell használnia, a számítógép indításának kezdeti szakaszában nyomja meg az F-8 billentyűt, és válassza ki a menüből A számítógép hibaelhárítása,

    A Helyreállítási beállítások ablakban válassza ki ismét a Rendszer-visszaállítás lehetőséget,

    Most figyeljen, ha az F-8 megnyomásakor a menü Hibaelhárítás nem érhető el, akkor a Windows 7 helyreállítási környezetet tartalmazó fájljai sérültek.

    • Lehetséges Live CD nélkül? Elvileg igen, olvasd el a cikket a végéig.

    Most gondoljuk át, hogyan fogunk cselekedni, ha a Rendszer-visszaállítást semmilyen módon nem lehet elindítani, vagy teljesen le van tiltva. Először nézzük meg, hogyan távolítsuk el a szalaghirdetést a feloldó kód segítségével, amelyet a Dr.Web vírusirtó szoftvergyártó cégek, valamint az ESET NOD32 és a Kaspersky Lab biztosítanak, ebben az esetben baráti segítségre lesz szüksége. Szükséges, hogy az egyikük lépjen a feloldó szolgáltatáshoz, például a Dr.Webhez

    https://www.drweb.com/xperf/unlocker/

    http://www.esetnod32.ru/.support/winlock/

    valamint a Kaspersky Lab

    http://sms.kaspersky.ru/, és ebbe a mezőbe beírta a telefonszámot, amelyre pénzt kell utalnia a számítógép zárolásának feloldásához, majd kattintson a gombra - Kódok keresése. Ha megtalálta a feloldó kódot, írja be a szalagablakba, és kattintson az Aktiválás gombra vagy bármire, amit oda írt, a bannernek el kell tűnnie.

    A szalaghirdetés eltávolításának egy másik egyszerű módja a helyreállítási lemez használata, vagy más néven mentés a és a helyről. A teljes folyamatot a letöltéstől, a kép írásától egy üres CD-re és a számítógép vírusellenőrzéig részletesen leírjuk cikkeinkben, a linkeket követheti, ezen nem fogunk kitérni. Egyébként a vírusirtó cégek mentőlemezei egyáltalán nem rosszak, ugyanúgy használhatók, mint a LiveCD - különféle fájlműveleteket hajthat végre, például személyes adatokat másolhat át egy fertőzött rendszerről, vagy futtassa a Dr.Web CureIt nevű gyógyító segédprogramot. egy USB flash meghajtót. És az ESET NOD32 mentőlemezen van egy csodálatos dolog, ami nem egyszer segített - a Userinit_fix , amely javítja a fontos beállításjegyzék-beállításokat egy szalaghirdetéssel fertőzött számítógépen - Userinit, fiókok HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon .

    Hogyan javíthatja mindezt manuálisan, olvassa el.
    Nos, barátaim, ha valaki tovább olvassa a cikket, akkor nagyon örülök, hogy látlak, most kezdődik a legérdekesebb, ha sikerül tanulni és még inkább jelentkezni ez az információ a gyakorlatban sok hétköznapi ember, akit megszabadít a ransomware bannertől, igazi hackernek fogja tekinteni.

    Ne áltassuk magunkat, személy szerint mindaz, amit fent leírtunk, a számítógép vírusblokkolóval - Trojan.Winlock -val való blokkolása eseteinek pontosan felében segített. A másik fele a kérdés alaposabb mérlegelését igényli, amivel foglalkozni fogunk.
    Valójában az operációs rendszer blokkolásával, akár Windows 7 vagy Windows XP esetén, a vírus saját maga módosítja a rendszerleíró adatbázist, valamint az ideiglenes fájlokat tartalmazó Temp mappákat és a C:\Windows->system32 mappát. Ezeket a változásokat korrigálni kell. Ne feledkezzünk meg a Start->Minden program->Startup mappáról sem. Most minderről részletesen.

    • Szánjon rá időt barátok, először leírom, hogy pontosan hol található a javítandó, majd megmutatom, hogyan és milyen eszközökkel.

    Windows 7 és Windows XP rendszerben a zsarolóvírus-szalaghirdetés ugyanazokat a UserInit és Shell beállításokat érinti a rendszerleíró adatbázisban.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
    Ideális esetben így kell lenniük:
    Userinit - C:\Windows\system32\userinit.exe,
    Shell-explorer.exe

    Mindent betűnként ellenőrizze, néha a userinit helyett előfordul, hogy például usernit vagy userlnlt.
    Ezenkívül ellenőriznie kell az AppInit_DLLs paramétert a rendszerleíró adatbázisban HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, ha találsz ott valamit pl C:\WINDOWS\SISTEM32\uvf.dll, akkor mindezt törölni kell.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce ne legyen bennük semmi gyanús.

    És mindenképpen:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (üresnek kell lennie), és általában itt sem szabad semmi feleslegesnek lennie. ParseAutoexec egyenlőnek kell lennie 1-gyel .

    Az ideiglenes mappákból is törölnie kell MINDENT (erről a témáról is van cikk), de a Windows 7 és a Windows XP rendszerben egy kicsit másképp helyezkednek el:

    Windows 7:
    C:\Felhasználók\Felhasználónév\AppData\Local\Temp. A vírusok különösen szeretnek itt megtelepedni.
    C:\Windows\Temp
    C:\Windows\
    Windows XP:
    C:\Dokumentumok és beállítások\Felhasználói profil\Helyi beállítások\Temp
    C:\Documents and Settings\User Profile\Local Settings\Temporary Internet Files.
    C:\Windows\Temp
    C:\Windows\Prefetch
    Nem lesz felesleges mindkét rendszerben megnézni a C:\Windows->system32 mappát, minden fájl .exe-re és dll-re végződik, és a számítógépe bannerrel való megfertőződésének dátuma. Ezeket a fájlokat törölni kell.

    És most nézze meg, hogyan fogja mindezt végrehajtani egy kezdő, majd egy tapasztalt felhasználó. Kezdjük a Windows 7-tel, majd lépjünk tovább az XP-re.

    Hogyan lehet eltávolítani a szalaghirdetést a Windows 7 rendszerben, ha a Rendszer-visszaállítás le van tiltva?

    Képzeld el a legrosszabb forgatókönyvet. A Windows 7 bejelentkezést blokkolta a ransomware szalaghirdetés. A rendszer-visszaállítás le van tiltva. A legegyszerűbb, ha egy egyszerű helyreállító lemez segítségével belép a Windows 7 rendszerbe (ezt megteheti közvetlenül a Windows 7 operációs rendszerben - cikkünkben részletesen le van írva), használhat egy egyszerű Windows 7 telepítőlemezt vagy bármely a legegyszerűbb LiveCD. Indítsa el a helyreállítási környezetet, válassza a Rendszer-visszaállítás lehetőséget, majd válassza a lehetőséget parancs sor

    és beírjuk: -notepad, bekerülünk a Jegyzettömbbe, majd a File és Open.

    Bemegyünk az igazi felfedezőbe, kattintson a Sajátgép elemre.

    A C:\Windows\System32\Config mappába lépünk, itt adjuk meg a Fájl típusát - Minden fájl és látjuk a rendszerleíró fájljainkat, látjuk a RegBack mappát is,

    benne 10 naponta a Feladatütemező biztonsági másolatot készít a rendszerleíró kulcsokról – még akkor is, ha a Rendszer-visszaállítás le van tiltva. Itt annyit lehet tenni, hogy a C:\Windows\System32\Config mappából töröljük a SZOFTVER fájlt, ami a HKEY_LOCAL_MACHINE\SOFTWARE registry hive-ért felelős, legtöbbször a vírus itt hajtja végre a módosításait.

    A helyére másolja és illessze be az azonos nevű SZOFTVER fájlt biztonsági mentés RegBack mappák.

    A legtöbb esetben ez is elegendő, de ha kívánja, a Config mappában található RegBack mappából mind az öt rendszerleíró adatbázist lecserélheti: SAM , SECURITY , SOFTWARE , DEFAULT , SYSTEM .

    Ezután mindent megteszünk a fent leírtak szerint - töröljük a fájlokat a Temp ideiglenes mappákból, nézzük meg a C:\Windows->system32 mappában a .exe és dll kiterjesztésű fájlokat a fertőzés napján feltüntetett dátummal, és természetesen nézzük meg. a Startup mappa tartalmánál.

    Windows 7 alatt a következő helyen található:

    C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

    Windows XP:

    C:\Dokumentumok és beállítások\Minden felhasználó\Főmenü\Programok\Indítás.

    • Hogyan teszik ugyanezt haladó felhasználók szerinted sima LiveCD-t vagy Windows 7 helyreállító lemezt használnak? A barátoktól távol, nagyon professzionális eszközt használnak - Microsoft Diagnostic and Recovery Toolset (DaRT) verzió: 6.5 Windows 7 rendszerhez- ez a lemezen található és szükséges segédprogramok professzionális összeállítása rendszergazdák a gyors gyógyulásért fontos paramétereket operációs rendszer. Ha érdekli ez az eszköz, olvassa el cikkünket.

    Egyébként tökéletesen tud csatlakozni a Windows 7 operációs rendszerhez.A számítógépet lemezről indítva Microsoft helyreállítás(DaRT), szerkesztheti a rendszerleíró adatbázist, új jelszavakat rendelhet hozzá, fájlokat törölhet és másolhat, használhatja a Rendszer-visszaállítást és még sok mást. Természetesen nem minden LiveCD rendelkezik ilyen funkciókkal.
    A számítógépünket erről, más néven Microsoft újraélesztő lemezről (DaRT) indítjuk, inicializáljuk a hálózati kapcsolatot háttér, ha nincs szükségünk az internetre - elutasítjuk.

    A meghajtóbetűjeleket ugyanúgy rendelheti hozzá, mint a célrendszeren – mondjon Igen, kényelmesebb így dolgozni.

    Orosz elrendezés és azon túl. A legalsó részen látjuk, amire szükségünk van - a Microsoft diagnosztikai és helyreállítási eszközkészletére. a rendszerleíró adatbázisban: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs - üresnek kell lennie.

    Ön és én is beléphetünk az indításba a Számítógép-kezelő eszköz segítségével.

    Intéző eszköz - nincs megjegyzés, itt bármilyen műveletet végrehajthatunk fájljainkkal: másolás, törlés, futtatás USB flash meghajtóról víruskereső stb.

    Esetünkben mindenből meg kell tisztítani a Temp ideiglenes mappákat, hány és hol található a Windows 7-ben, azt már a cikk közepéről tudhatja.
    De figyelem! Mivel a Microsoft Diagnostic and Recovery Toolset teljes mértékben csatlakozik az operációs rendszerhez, nem tudja törölni például a rendszerleíró adatbázis fájlokat -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, mert ezek folyamatban vannak, de kérjük, végezzen módosításokat.

    A szalaghirdetés eltávolítása Windows XP rendszerben

    A lényeg ismét az eszközben van, javaslom az ERD Commander 5.0 használatát (link a fenti cikkre), ahogy a cikk elején is mondtam, kifejezetten az ilyen problémák megoldására készült Windows XP rendszerben. Az ERD Commander 5.0 segítségével közvetlenül csatlakozhat az operációs rendszerhez, és mindent megtehet, amit mi tettünk segítség a Microsofttól Diagnosztikai és helyreállítási eszközkészlet a Windows 7 rendszerben.
    A számítógépet a helyreállítási lemezről indítjuk. Válassza az első lehetőséget a fertőzött operációs rendszerhez való csatlakozáshoz.

    Válassza ki a rendszerleíró adatbázist.

    Megnézzük a UserInit és a Shell paramétereket a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ágban. Mint fentebb mondtam, ilyen értékkel kell rendelkezniük.
    Userinit - C:\Windows\system32\userinit.exe,
    Shell-explorer.exe

    Megnézzük a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs fájlt is – üresnek kell lennie.

    Ezután lépjen az Intézőbe, és töröljön mindent a Temp ideiglenes mappákból.
    Hogyan távolíthat el egy szalaghirdetést Windows XP rendszerben az ERD Commander segítségével (mellesleg, ez a módszer minden Live CD-re alkalmazható). Megpróbálhatja ezt megtenni anélkül is, hogy csatlakozna az operációs rendszerhez. Töltse le az ERD Commander programot, és dolgozzon anélkül, hogy csatlakozna a Windows XP rendszerhez,

    ebben a módban törölhetjük és lecserélhetjük a rendszerleíró fájlokat, mivel ezek nem vesznek részt a munkában. Válassza az Intéző lehetőséget.

    A Windows XP operációs rendszer rendszerleíró fájljai a C:\Windows\System32\Config mappában találhatók. A Windows XP telepítése során létrehozott rendszerleíró fájlok biztonsági másolatai pedig a C:\Windows\repair címen található javítási mappában találhatók.

    Ugyanezt tesszük, először a SZOFTVER fájlt másoljuk,

    majd a rendszerleíró adatbázis többi fájlját is - SAM , SECURITY , DEFAULT , SYSTEM sorban - a javítási mappából is kicserélheti a C:\Windows\System32\Config mappába. Fájl cseréje? Egyetértünk - Igen.

    Azt akarom mondani, hogy a legtöbb esetben elegendő egy SZOFTVER fájl cseréje. Amikor a rendszerleíró fájlokat a javítási mappából cseréli ki, jó esély van a rendszer indítására, de a legtöbb módosítást, amelyet azután végzett Windows telepítés Az XP eltűnt. Fontolja meg, hogy ez a módszer megfelelő-e az Ön számára. Ne felejtsen el mindent eltávolítani az indításból, ami ismeretlen. Elvileg az MSN Messenger klienst nem szabad törölni, ha szüksége van rá.

    És ma az utolsó módja annak, hogy megszabaduljunk a ransomware bannertől az ERD Commander lemez vagy bármely Live CD használatával

    Ha a Rendszer-visszaállítás engedélyezve volt a Windows XP rendszerben, de nem tudja alkalmazni, akkor megpróbálhatja ezt megtenni. A rendszerleíró fájlokat tartalmazó C:\Windows\System32\Config mappába lépünk.

    Nyissa meg a teljes fájlnevet a csúszkával, és törölje a SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM elemeket. Amúgy a törlés előtt minden esetre átmásolhatod valahova, sose tudod mire. Talán le akarja játszani.

    Ezután lépjen a mappába Rendszerkötet információ\_visszaállítás (E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2)\RP\ snapshot , itt olyan fájlokat másolunk, amelyek a rendszerleíró águnk biztonsági másolatai HKEY_LOCAL_MACHINE\ történetet, elolvashatja.

    Helló kedves olvasók a blogoldalon Régóta szerettem volna egy cikket írni arról, hogyan lehet eltávolítani a ransomware vírust (Winlocker), amely blokkolja a bejelentkezést a számítógépére.
    Leggyakrabban a tapasztalatlan felhasználók szembesülnek ezzel a problémával, akik véletlenül vagy hanyagságuk miatt csalók áldozatai lettek. Tapasztalatlanságuk miatt sokan küldenek SMS-t, hogy feloldják a bannert abban a reményben, hogy megkapják a kódot, és sok pénzt költenek egyszerre, mielőtt kiderülne, hogy ez csak egy ransomware vírus, amely megfertőzte a számítógépét, amely ellen harcolhat. pénz nélkül.

    Azonnal azt mondom, hogy semmi esetre se fizessen pénzt a csalóknak, minden, ami egy ilyen SMS-szalagra van írva, tiszta átverés. Még ha úgy döntesz is, hogy a legkisebb ellenállás útját választod, és fizetni fogsz, nem tény, hogy ez megoldja a problémádat.

    Ezenkívül ne folyamodjon a legkevésbé - ne telepítse újra a rendszert. Minden rosszindulatú program egyszerűen és következmények nélkül eltávolítható. A rendszer újratelepítése azt eredményezheti, hogy teljes eltávolításaösszes szükséges információ. Csak akkor folyamodhat hozzá, ha nincs semmi értékes a számítógépén.

    A ransomware vírus hatása a rendszerre

    A Winlocker teljesen felfüggeszti az operációs rendszert, bezárja a hozzáférést a programok indításához és az asztalhoz. A ransomware vírus blokkolja a hozzáférést a feladatkezelőhöz, és a Windows betöltése után azonnal elindul. Néha előfordul, hogy egy rosszindulatú program bezárja a rendszer csökkentett módban történő indításának lehetőségét, ebben a helyzetben a probléma megoldása sokkal nehezebb lesz.

    Amikor egy vírusprogram bejut egy eszközbe, többször is rögzíti magát különböző helyeken, így nehéz azonosítani, és még inkább eltávolítani.

    Hadd mondjak néhány szót azzal kapcsolatban, hogy mi történik ebben a helyzetben. Leggyakrabban az ilyen típusú vírusok megjelenése azokon a számítógépeken figyelhető meg, ahol nincs vírusvédelem. Hogy megvédje készülékét a rosszindulatú Azt tanácsolom, hogy olvassa el a cikket . Azt is meg kell értenie, hogy az Önt használó webhelyeken rendkívül óvatosnak kell lennie, és nem kell ismeretlen hivatkozásokat követnie. Egy ilyen fertőzés elkapásának egy másik nagyon nagy valószínűsége akkor merülhet fel, ha egy programot nem ellenőrzött forrásból letöltött és telepített. Az internet böngészésekor ne felejtse el megvédeni számítógépét, a legkisebb éberség segít elkerülni a további problémákat.

    Ügyeljen arra, hogy megakadályozza számítógépét, frissítse a víruskeresőt, rendszeresen ellenőrizze az eszközt rosszindulatú programok után (beállíthatja az automatikus keresést egy adott napon és időpontban). Ha betartja az egyszerű szabályokat, elkerülheti a fertőzést.

    Tehát, ha mégis úgy dönt, hogy egyedül kezeli ezt a problémát, nézzünk meg néhány lehetőséget a ransomware vírus feloldására. Kezdjük a legelejétől egyszerű módjaés fokozatosan áttérünk az összetettebbre. Ha valamelyik lehetőség segít, akkor hagyja abba.

    Parancsok futtatása a parancssorból

    Nemrég értesültem a legegyszerűbb módszer létezéséről, de nem minden gépen képes megoldani a problémát.

    Az első dolog, amit tennünk kell. Újraindítjuk a számítógépet, és rendszerindítás közben rendszeresen megnyomjuk az F8 billentyűt. Ha mindent helyesen csinált, akkor látnia kell a további Windows rendszerindítási lehetőségek menüjét. NÁL NÉL ezt a menüt válassza ki a rendszer indításának lehetőségét Csökkentett mód parancssori támogatássalés nyomja meg az Entert. Betöltés után csak a parancssor jelenik meg az asztal és a rajta lévő parancsikonok és ikonok nélkül. Adja meg egyenként a következő parancsokat

    • csapat cleanmgr– a Cleanmgr.exe eszközt a szükségtelen és elavult fájlok eltávolítására tervezték;
    • csapat rstrui– parancs a rendszer-visszaállítás indításához ( parancsot adott csak akkor működik, ha nem tiltotta le a rendszerbeállításokban).

    A parancsok egymás utáni bevitele után újraindítjuk a számítógépet, és ellenőrizzük a szalaghirdetés jelenlétét. Ha hiányzik, akkor ez a módszer segített nekünk, ha nem, akkor folytassa a következővel.

    Távolítsa el a blokkolót az indításból

    Az első módszerhez hasonlóan elindítjuk a készüléket és az F8 billentyű lenyomásával betöltjük a további opciók menüjét. Ezután válassza ki az elemet Biztonságos módés nyomja meg az Entert. Elindítjuk a Futtatás funkciót a Start menüből vagy a Ctrl + R billentyűk egyidejű lenyomásával és a mezőben végrehajtaniírja be a parancsot msconfig. Ezzel megnyílik a Windows rendszerindítási beállításai ablak. Nyissa meg az Indítás lapot, és próbálja meg megtalálni a gyanús programokat.

    Leggyakrabban az ilyen programok neve véletlenszerű betűkészletből áll. Ha Ön felfedezett egy ilyen programot, törölje a jelet a mellette lévő négyzetből. Azt is meg kell nézni, hogy melyik mappában van tárolva, és törölnie kell. Ezen műveletek végrehajtása előtt azt tanácsolom, hogy olvassa el a cikk anyagait.

    A műveletek elvégzése után indítsa újra a számítógépet, és ellenőrizze, hogy a probléma megoldódott-e. Ha az SMS vírus továbbra is megtagadja a hozzáférést, folytassa a következő módszerrel.

    Megtisztítjuk a rendszerleíró adatbázist a banner nyomaitól

    Ha eljutott idáig, és a korábbi próbálkozások hiábavalóak voltak, akkor ez a módszer 98%-ban segít feloldani a ransomware vírust.

    Szeretném megjegyezni, hogy az alábbiakban felsorolt ​​összes műveletet nagyon óvatosan és szigorúan az utasításoknak megfelelően kell végrehajtani. A rendszerleíró kulcsok szerkesztésével a helytelen műveletek helyrehozhatatlan károkat okozhatnak a rendszerben, és csak a Windows újratelepítése marad hátra.

    Tehát csökkentett módban indítjuk el a rendszert, ennek hogyanját fent leírtuk. Várjuk a letöltést, és elindítjuk a „Futtatás” opciót a megnyíló ablak mezőjében, írja be a parancsot regedit. A parancs beírása után megnyílik előtted egy regisztrációs szerkesztő ablak.

    Ezután menjen a következő útvonalra HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

    A jobb oldali oszlopban két Shell és Userinit paraméter látható. Ezekkel a paraméterekkel szemben van egy értékoszlop. Ezekben az oszlopokban nem lehet semmi felesleges (a Shell paraméterrel szemben az explorer.exe értéknek, a Userinittel szemben a userinit.exe értéknek kell lennie). Ha vannak további értékek, akkor ez a vírus eredménye, és nyugodtan törölhet mindent.

    Lelkiismeretem megnyugtatása érdekében azt tanácsolom, hogy menjen a következő címre a rendszerleíró adatbázisban ….. \ Microsoft\ ablakok\ Jelenlegi verzió\ Fuss
    és ellenőrizze, hogy az ablak jobb oldali mezőjében nincs-e szükségtelen és ismeretlen program, ha van, akkor törölje azokat.

    Újraindítjuk a számítógépet, és örülünk a vírus eltűnésének.

    Szinte száz százalékig biztos vagyok benne, hogy ha mindent helyesen csinálunk, akkor az ablakok elindítását blokkoló banner eltűnik. De minden esetre megadok egy másik módot a ransomware eltávolítására. Természetesen nem olyan súlyos, mint a többi, de néha nem kevésbé hatékony.

    Dátum fordítás a Biosban

    Amikor a rendszer elindul, belépünk a Biosba, és egy héttel előre módosítjuk a dátumot és az időt. Előfordul, hogy a banner eltűnik, de ez nagyon ritkán történik.

    Ügyeljen arra, hogy ellenőrizze számítógépét rosszindulatú programok után, miután sikerült megszabadulnia a Windows blokkolótól. A beolvasást teljesen, nem pedig gyorsan kell elvégezni. És gondolnia kell készüléke minőségi védelmére is. Ha nincs pénze egy fizetett víruskeresőre, például, akkor letöltheti ingyenes vírusirtó címmel .

    Az utolsó lépés pedig az lesz, hogy ellenőrizze a számítógépét rosszindulatú programok szempontjából. Erre több is van ingyenes programok amelyekről a következő blogbejegyzésekben kitérek.

    Nagyon remélem, hogy segítettem kitalálni, hogyan távolíthatja el a ransomware bannert, de ha bármilyen kérdése van, nyugodtan tegye fel őket a megjegyzésekben, és szívesen segítek.

    Valószínűleg minden negyedik felhasználó személyi számítógép különféle csalásokkal kellett szembenéznie az interneten. A megtévesztés egyik fajtája a blokkoló transzparens Windows működikés kéri, hogy küldjön SMS-t a címre fizetett szám vagy kriptovalutát igényel. Alapvetően ez csak egy vírus.

    A ransomware banner elleni küzdelemhez meg kell értened, mi az, és hogyan hatol be a számítógépedbe. A banner általában így néz ki:

    De lehet mindenféle más variáció, de a lényeg ugyanaz – a szélhámosok pénzt akarnak keresni rajtad.

    Hogyan jut be a vírus a számítógépbe

    A "fertőzés" első változata a kalóz alkalmazások, segédprogramok, játékok. Természetesen az internetezők megszokták, hogy a legtöbbet „ingyen” online kapják meg, amit akarnak, de amikor gyanús oldalakról töltenek le kalózszoftvert, játékokat, különféle aktivátorokat és egyéb dolgokat, fennáll a vírusfertőzés veszélye. Ebben a helyzetben általában segít.

    Előfordulhat, hogy a Windows blokkolva van a " kiterjesztésű letöltött fájl miatt .alkalmazás". Ez nem jelenti azt, hogy meg kell tagadnia az ezzel a kiterjesztéssel rendelkező fájlok letöltését. Csak emlékezz arra" .alkalmazás” csak játékokra és programokra vonatkozhat. Ha letölt egy videót, dalt, dokumentumot vagy képet, és a nevében az „.exe” szerepel a végén, akkor a ransomware banner megjelenésének esélye drámaian, 99,999%-ra nő!

    Van egy másik trükkös lépés, amely állítólag frissítést igényel Flash player vagy böngészőben. Előfordulhat, hogy az interneten fogsz dolgozni, oldalról oldalra lépkedsz, és egy nap találsz egy feliratot, hogy "a Flash playered elavult, frissítsd." Ha erre a bannerre kattint, és nem vezet a hivatalos adobe.com weboldalra, akkor az 100%-ban vírus. Ezért ellenőrizze, mielőtt a „Frissítés” gombra kattint. A legjobb megoldás az ilyen üzenetek figyelmen kívül hagyása.

    És végül, elavult Windows frissítések gyengíti a rendszer biztonságát. A számítógép védelme érdekében próbálja meg időben telepíteni a frissítéseket. Ez a funkció itt konfigurálható "Vezérlőpult -> Windows Update" automata módba, hogy ne zavarják el.

    A Windows 7/8/10 feloldása

    A ransomware szalaghirdetés eltávolításának egyik egyszerű módja a . 100%-ban segít, de érdemes újratelepíteni a Windows-t, ha nincsenek olyan fontos adatok a C meghajtón, amelyeket nem volt ideje elmenteni. A rendszer újratelepítésekor az összes fájl törlődik rendszerlemez. Ezért, ha nem akarja újratelepíteni szoftverés játékokat, akkor más módszereket is használhat.

    A kezelés és a rendszer sikeres elindítása után a ransomware banner nélkül meg kell tennie további műveletek, különben a vírus újra felszínre kerülhet, vagy egyszerűen csak valami probléma lesz a rendszerben. Mindez a cikk végén található. Minden adatot személyesen ellenőriztem! Szóval, kezdjük!

    A Kaspersky Rescue Disk + WindowsUnlocker segít nekünk!

    Speciálisan tervezett operációs rendszert fogunk használni. Az egész nehézség az, hogy működő számítógépen le kell tölteni egy képet és vagy (lapozd át a cikkeket, vannak).

    Ha kész, akkor kell. Indításkor egy kis üzenet jelenik meg, például "Nyomja meg bármelyik gombot a CD-ről vagy DVD-ről való rendszerindításhoz". Itt meg kell nyomnia bármelyik gombot a billentyűzeten, különben a fertőzött Windows elindul.

    Betöltéskor nyomja meg bármelyik gombot, majd válassza ki a nyelvet - "orosz", fogadja el licencszerződés használja az "1" gombot, és használja az indítási módot - "Grafika". A Kaspersky operációs rendszer elindítása után nem figyelünk az automatikusan induló szkennerre, hanem menjünk a „Start” menübe, és indítsuk el a „Terminál”-t.


    Megnyílik egy fekete ablak, ahová a következő parancsot írjuk:

    ablak nyitó

    Megnyílik egy kis menü:


    Válassza a "Windows feloldása" lehetőséget az "1" gombbal. Maga a program mindent ellenőriz és javít. Most bezárhatja az ablakot, és ellenőrizheti a teljes számítógépet a már futó szkennerrel. Az ablakban jelölje be a Windows operációs rendszerrel rendelkező lemezt, és kattintson az "Objektumellenőrzés végrehajtása" gombra.


    Megvárjuk az ellenőrzés végét (lehet, hogy sokáig tart), és végül újraindítjuk.

    Ha van egy laptopja egér nélkül, és az érintőpad nem működik, akkor azt javaslom, hogy használja a Kaspersky lemez szöveges módját. Ebben az esetben az operációs rendszer elindítása után először be kell zárni az "F10" gombbal megnyíló menüt, majd a parancssorba be kell írni ugyanazt a parancsot: windowsunlocker

    Feloldás csökkentett módban, speciális képek nélkül

    Mára az olyan vírusok, mint a Winlocker, bölcsebbek lettek, és blokkolták őket Windows rendszerindítás csökkentett módban, így valószínűleg nem fog sikerülni, de ha nincs kép, akkor próbálja meg. A vírusok különbözőek, és mindenkinél működhetnek különböző utak de az elv ugyanaz.

    Újraindítjuk a számítógépet. A rendszerindítás során le kell nyomnia az F8 billentyűt, amíg meg nem jelenik a további opciókat tartalmazó menü Windows indítás. A lefelé mutató nyilak segítségével ki kell választanunk egy elemet a listából, amely az ún "Csökkentett mód parancssori támogatással".

    Ide kell eljutnunk és kiválasztanunk a kívánt sort:

    Továbbá, ha minden jól megy, a számítógép elindul, és látni fogjuk az asztalt. Kiváló! De ez nem jelenti azt, hogy most minden működik. Ha nem távolítja el a vírust, és csak normál módban indítja újra, a banner ismét felugrik!

    Windows eszközökkel kezeljük

    Vissza kell állítania a rendszert, amikor még nem volt blokkoló szalaghirdetés. Olvassa el figyelmesen a cikket, és tegyen meg mindent, ami ott le van írva. A cikk alatt van egy videó.

    Ha ez nem segít, nyomja meg a „Win + R” gombokat, és írja be a parancsot az ablakba a beállításszerkesztő megnyitásához:

    regedit

    Ha az asztal helyett fekete parancssor indul, akkor egyszerűen írja be a „regedit” parancsot, és nyomja meg az „Enter” billentyűt. Meg kell vizsgálnunk néhány rendszerleíró kulcsot vírusok szempontjából, vagy pontosabban - rosszindulatú kód. A művelet elindításához lépjen ide ezen az útvonalon:

    HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

    Most sorrendben ellenőrizzük a következő értékeket:

    • Shell - „explorer.exe” kell ide írni, nem lehet más lehetőség
    • Userinit - itt a szövegnek a következőnek kell lennie: "C:\Windows\system32\userinit.exe",

    Ha az operációs rendszer más meghajtóra van telepítve, mint a C:, akkor ott a betű más lesz. A helytelen értékek módosításához kattintson a jobb gombbal a szerkeszteni kívánt sorra, és válassza a "módosítás" lehetőséget:

    Ezután ellenőrizzük:

    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

    Itt egyáltalán ne legyenek Shell és Userinit kulcsok, ha vannak, töröld.

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

    És mindenképpen:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

    Ha nem biztos abban, hogy törölnie kell-e a kulcsot, először egyszerűen hozzáadhat egy „1”-et a paraméterhez. Az elérési út hibás lesz, és ez a program egyszerűen nem indul el. Utána visszaküldheted úgy, ahogy volt.

    Most le kell futtatnia a beépített rendszertisztító segédprogramot, ugyanúgy csináljuk, mint ahogy elindítottuk a regedit rendszerleíró adatbázis-szerkesztőt, de ezt írjuk:

    cleanmgr

    Válassza ki az operációs rendszert tartalmazó lemezt (alapértelmezés szerint C:), és a vizsgálat után jelölje be az összes négyzetet, kivéve a "Service Pack Backup Files" lehetőséget.

    És kattintson az "OK" gombra. Lehetséges, hogy ezzel a művelettel letiltottuk a vírus automatikus futtatását, majd meg kell tisztítanunk a jelenlét nyomait a rendszerben, erről a cikk végén olvashat.

    AVZ segédprogram

    Ez abból áll, hogy csökkentett módban a jól ismert AVZ víruskereső segédprogramot fogjuk futtatni. A víruskeresésen kívül a programnak csak számos funkciója van a rendszerhibák megoldására. Ez a módszer megismétli a rendszerben lévő lyukak kitöltésének lépéseit a vírus működése után, beleértve a vírus működését. hogy megismerkedjen vele, lépjen a következő bekezdésre.

    A ransomware eltávolítása utáni problémák megoldása

    Gratulálunk! Ha ezt olvasod, akkor a rendszer banner nélkül indult el. Most ellenőriznie kell velük az egész rendszert. Ha a Kaspersky mentőlemezt használta, és ott bejelölte, akkor ezt az elemet kihagyhatja.

    A gazember tevékenységéhez még egy probléma társulhat: a vírus titkosíthatja fájljait. És még a teljes eltávolítása után sem fogja tudni használni a fájljait. A visszafejtéshez a Kaspersky webhelyéről származó programokat kell használnia: XoristDecryptor és RectorDecryptor. Vannak használati utasítások is.

    De ez még nem minden, mert. A Winlocker valószínűleg elrontotta a rendszert, és különféle hibák és problémák lesznek megfigyelhetők. Például a beállításjegyzék-szerkesztő és a feladatkezelő nem indul el. A rendszer kezelésére az AVZ programot fogjuk használni.

    Letöltéskor a Google Chrome baj lehet, mert ez a böngésző rosszindulatúnak tartja a programot, és nem engedi letölteni! Ez a kérdés már felvetődött a hivatalos Google fórumon, és a cikk írásakor minden már rendben van.

    Ha továbbra is le szeretné tölteni az archívumot a programmal, lépjen a "Letöltések" elemre, és kattintson a "Letöltés" gombra. rosszindulatú fájl» 🙂 Igen, megértem, hogy kicsit hülyén néz ki, de a chrome úgy gondolja, hogy a program káros lehet hétköznapi felhasználó. És ez igaz, ha bárhová böksz, ahová ütöd! Ezért szigorúan kövesse az utasításokat!

    A programmal együtt kicsomagoljuk az archívumot, külső adathordozóra írjuk és lefuttatjuk a fertőzött gépen. Menjünk a menühöz "Fájl -> Rendszer-visszaállítás", jelölje be a jelölőnégyzeteket a képen látható módon, és hajtsa végre a következő műveleteket:

    Most menjünk a következő úton: "Fájl -> Hibaelhárító varázsló", majd menjen ide "Rendszer problémák -> Minden probléma"és kattintson a "Start" gombra. A program átvizsgálja a rendszert, majd a megjelenő ablakban jelölje be az összes jelölőnégyzetet, kivéve az "Operációs rendszer frissítéseinek letiltása automatikus módban" és azokat, amelyek az "Automatikus futtatás engedélyezése innen" kifejezéssel kezdődnek.

    Kattintson a „Megjelölt problémák javítása” gombra. A sikeres befejezés után lépjen a következő helyre: "A böngésző beállításai és módosításai -> Minden probléma", itt bejelöljük az összes jelölőnégyzetet, és ugyanúgy kattintsunk a "Megjelölt problémák javítása" gombra.

    Ugyanezt tesszük az „Adatvédelem”-nél is, de itt ne jelölje be azokat a jelölőnégyzeteket, amelyek felelősek a böngészők könyvjelzőinek megtisztításáért, és arról, hogy mit gondol még, amire szüksége van. Az ellenőrzést a „Rendszer tisztítása” és „Reklámprogramok/Eszköztár/Böngészőgép-eltérítő eltávolítása” részben fejezzük be.

    A végén zárja be az ablakot anélkül, hogy elhagyná az AVZ-t. A programban találjuk "Eszközök -> Explorer bővítményszerkesztő"és távolítsa el a pipát a feketével jelölt elemekről. Most menjünk: "Eszközök -> Kiterjesztéskezelő internet böngésző» és teljesen törölje az összes sort a megjelenő ablakban.

    Fentebb már mondtam, hogy a cikknek ez a része is az egyik módja annak, hogy kivédjük a Windowst a ransomware bannertől. Tehát ebben az esetben le kell töltenie a programot egy működő számítógépre, majd ki kell írnia egy USB flash meghajtóra vagy egy lemezre. Minden művelet biztonságos módban történik. De van egy másik lehetőség az AVZ futtatására akkor is, ha a csökkentett mód nem működik. A rendszer indításakor ugyanabból a menüből kell elindítania a "Számítógépes hibaelhárítás" módot.

    Ha telepítve van, akkor a menü legtetején fog megjelenni. Ha nincs ott, próbálja meg elindítani a Windows rendszert, amíg meg nem jelenik a szalaghirdetés, majd kapcsolja ki a számítógépet a konnektorból. Ezután kapcsolja be - valószínűleg új indítási módot kínálnak.

    Windows telepítőlemezről indulva

    Egy másik a helyes út minden telepítésről indítható Windows lemez 7-10, és ott ne a "Telepítést" válassza, hanem "Rendszer-visszaállítás". Amikor a hibaelhárító fut:

    • Ki kell választania a "Parancssor" lehetőséget
    • A megjelenő fekete ablakba írja be: "notepad", azaz. Indítson el egy szokásos jegyzettömböt. Mini karmesterként fogjuk használni
    • Lépjen a "Fájl -> Megnyitás" menübe, válassza ki az "Összes fájl" fájltípust.
    • Ezután megkeressük az AVZ programmal rendelkező mappát, jobb gombbal kattintson az elindított „avz.exe” fájlra, és indítsa el a segédprogramot a „Megnyitás” menüponttal (nem a „Kiválasztás” elemmel!).

    Ha semmi sem segít

    Azokra az esetekre utal, amikor valamilyen oknál fogva nem tud elindulni egy flash meghajtóról a Kaspersky vagy az AVZ program rögzített képével. Csak le kell szereznie a számítógépről HDDés csatlakoztassa egy második lemezzel egy működő számítógéphez. Ezután indítsa el az UNINfected alkalmazásból merevlemezés szkennelje be A lemezét egy Kaspersky szkennerrel.

    Soha ne küldjön csalók által kért SMS-eket. Bármi legyen is a szöveg, ne küldj üzenetet! Próbálja meg elkerülni a gyanús webhelyeket és fájlokat, de általában olvassa el. Kövesse az utasításokat, és számítógépe biztonságban lesz. És ne feledkezzünk meg a vírusirtóról és az operációs rendszer rendszeres frissítéseiről!

    Itt van egy videó, amely mindent bemutat egy példában. A lejátszási lista három leckéből áll:

    PS: milyen módszer segített? Írjon róla az alábbi megjegyzésekben.

    A Winlocker trójaiak olyan rosszindulatú programok, amelyek az asztali számítógéphez való hozzáférés blokkolásával pénzt csikarnak ki a felhasználótól – állítólag ha átutalja a szükséges összeget a támadó számlájára, feloldó kódot kap.

    Ha egyszer bekapcsolja a számítógépet, a következőt látja az asztal helyett:

    Vagy valami más ugyanebben a szellemben - fenyegető feliratokkal, és néha obszcén képekkel, ne rohanjon megvádolni szeretteit minden bűnnel.

    Ők, és talán te magad is a zsarolók áldozatai lettek.

    Hogyan kerülnek a zsarolóprogram-blokkolók a számítógépre?

    Leggyakrabban a blokkolók a következő módokon jutnak be a számítógépbe:

    • feltört programokon, valamint fizetős szoftverek (crack, keygens stb.) feltörésére szolgáló eszközökön keresztül;
    • a közösségi hálózatok üzeneteiből származó linkekről letöltve, állítólag ismerősöktől, de valójában - feltört oldalakról behatolóktól;
    • adathalász webes forrásokból letöltve, amelyek jól ismert oldalakat utánoznak, de valójában kifejezetten vírusok terjesztésére készültek;
    • érkezzen e-mailben, csatolmányok formájában, amelyek érdekes tartalmú leveleket kísérnek: „beperelték...”, „lefényképezték a tetthelyen”, „egymilliót nyertél” és hasonlók.

    Figyelem! A pornográf bannereket nem mindig töltik le pornóoldalakról. Lehet és a legközönségesebb.

    A ransomware egy másik típusát ugyanúgy terjesztik - a böngészőblokkolókat. Például így:

    vagy így:

    Pénzt követelnek azért, hogy böngészőn keresztül hozzáférjenek a webböngészéshez.

    Hogyan lehet eltávolítani a "Windows le van tiltva" szalagcímet és hasonlókat?

    Amikor az asztal le van zárva, és egy vírusszalag megakadályozza a programok elindítását a számítógépen, a következőket teheti:

    • lépjen csökkentett módba parancssori támogatással, indítsa el a rendszerleíróadatbázis-szerkesztőt, és törölje a szalaghirdetés automatikus futtatási kulcsait.
    • indítsa el az élő CD-t („élő” lemezről), például az ERD parancsot, és távolítsa el a szalaghirdetést a számítógépről mind a beállításjegyzéken (autorun kulcsok), mind az Exploreren (fájlok) keresztül.
    • vizsgálja át a rendszert egy indítólemezről vírusirtóval, például Dr.Web LiveDisk vagy Kaspersky Rescue Disk 10.

    1. módszer: A winlocker eltávolítása csökkentett módból konzoltámogatással.

    Szóval, hogyan lehet eltávolítani egy szalaghirdetést a számítógépről a parancssoron keresztül?

    A Windows XP és 7 operációs rendszert futtató gépeken a rendszer indulása előtt gyorsan meg kell nyomni az F8 billentyűt, és ki kell választani a megjelölt elemet a menüből (Windows 8 \ 8.1 esetén ez a menü nem elérhető, ezért innen kell indítani telepítő lemezés onnan futtassa a parancssort).

    Az asztali számítógép helyett egy konzol nyílik meg előtted. A beállításszerkesztő elindításához írja be a parancsot regedités nyomja meg az Entert.

    Ezután nyissa meg a rendszerleíróadatbázis-szerkesztőt, keresse meg benne a vírusbejegyzéseket, és javítsa ki.

    A ransomware bannereket leggyakrabban a következő szakaszokban regisztrálják:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- itt megváltoztatják a Shell, Userinit és Uihost paraméterek értékeit (az utolsó paraméter csak a Windows XP rendszerben van). Normálra kell javítania őket:

    • shell=explorer.exe
    • Userinit = C:\WINDOWS\system32\userinit.exe, (C: egy betű rendszerpartíció. Ha a Windows a D meghajtón van, a Userinit elérési útja D betűvel kezdődik :)
    • Uihost=LogonUI.exe

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- Lásd az AppInit_DLLs paramétert. Normális esetben előfordulhat, hogy hiányzik, vagy üres az értéke.

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- itt a ransomware létrehoz egy új paramétert, amelynek értéke a blokkoló fájl elérési útja. A paraméter neve lehet egy karakterlánc, például dkfjghk. Teljesen el kell távolítani.

    Ugyanez vonatkozik a következő szakaszokra:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

    A beállításkulcsok javításához kattintson a jobb gombbal a beállításra, válassza a Szerkesztés lehetőséget, írjon be egy új értéket, majd kattintson az OK gombra.

    Ezután indítsa újra a számítógépet normál módban, és végezzen víruskereső vizsgálatot, amely eltávolítja az összes zsarolóprogramot a merevlemezről.

    2. módszer: Winlocker eltávolítása az ERD Commander segítségével.

    Az ERD Commander számos eszközt tartalmaz a Windows visszaállításához, beleértve a blokkoló trójaiak által megsérült eseteket is.

    A beépített ERDregedit rendszerleíró adatbázis-szerkesztővel ugyanazokat a műveleteket hajthatja végre, amelyeket fentebb leírtunk.

    Az ERD parancsnok nélkülözhetetlen lesz, ha a Windows minden módban le van tiltva. A másolatokat illegálisan terjesztik, de a neten könnyen megtalálhatók.

    ERD parancsnoki készletek mindenkinek Windows verziók az MSDaRT (Microsoft Diagnostic & Recovery Toolset) rendszerindító lemezek, ISO formátumban érkeznek, ami kényelmes DVD-re íráshoz vagy USB flash meghajtóra való átvitelhez.

    Az ilyen lemezről való indítás után ki kell választania a rendszer verzióját, és a menüben kattintson a rendszerleíróadatbázis-szerkesztőre.

    A Windows XP rendszerben az eljárás kissé eltér - itt meg kell nyitnia a Start menüt (Start), válassza a Felügyeleti eszközök és a Rendszerleíróadatbázis-szerkesztő lehetőséget.

    A rendszerleíró adatbázis szerkesztése után indítsa újra a Windows rendszert - valószínűleg nem fogja látni a "Számítógép zárolva" feliratot.

    3. módszer. A blokkoló eltávolítása a víruskereső „mentőlemez” segítségével.

    Ez a legegyszerűbb, de egyben a leghosszabb feloldási módszer.

    Elég DVD-re kiírni a Dr.Web LiveDisk vagy a Kaspersky Rescue Disk képét, elindítani róla, elkezdeni a keresést és megvárni a végét. A vírus elpusztul.

    Ugyanilyen hatékony a szalaghirdetések eltávolítása a számítógépről a Dr.Web és a Kaspersky lemezek használatával.

    Hogyan lehet eltávolítani a banner ransomware-t

    Hogyan lehet eltávolítani egy bannert a számítógépről egyedül?