###
  • Programok
  • Biztonság
  • hírek
  • Érdekes
  • Tanácsot
  • hírek
  • Vélemények

    • Hogyan lehet eltávolítani a banner vírust. Banner eltávolítása az asztalról, a Windows feloldása. A Windows telepítőlemezéről fut

    08.11.2019 Érdekes

    A Winlocker (Trojan.Winlock) egy számítógépes vírus, amely blokkolja a Windowshoz való hozzáférést. A fertőzés után felszólítja a felhasználót, hogy küldjön SMS-t, hogy megkapja a számítógép működését visszaállító kódot. Számos szoftvermódosítással rendelkezik: a legegyszerűbbektől - kiegészítő formájában "megvalósítva" - a legbonyolultabbakig - a merevlemez rendszerindító szektorának módosításáig.

    Figyelem! Ha számítógépét a Winlocker zárolja, semmilyen körülmények között ne küldjön SMS-t vagy utaljon át készpénz hogy megkapja az operációs rendszer feloldó kódját. Nincs garancia arra, hogy elküldik Önnek. És ha ez megtörténik, tudd, hogy a nehezen megkeresett pénzedet a semmiért a bűnözőknek adod. Ne dőlj be a trükköknek! Az egyetlen helyes megoldás ebben a helyzetben, ha eltávolítja a ransomware vírust a számítógépéről.

    Egy ransomware szalaghirdetés eltávolítása saját maga

    Ez a módszer azokra a Winlockerekre vonatkozik, amelyek nem blokkolják az operációs rendszer betöltését biztonságos mód, Rendszerleíróadatbázis-szerkesztő és Parancssor. Működési elve kizárólag rendszer segédprogramok használatán alapul (használat nélkül víruskereső programok).

    1. Ha rosszindulatú szalaghirdetést lát a monitoron, először kapcsolja ki az internetkapcsolatot.

    2. Indítsa újra az operációs rendszert csökkentett módban:

    • amikor a rendszer újraindul, tartsa lenyomva az „F8” billentyűt, amíg a „További rendszerindítási beállítások” menü meg nem jelenik a monitoron;
    • A kurzornyilak segítségével válassza ki a „Csökkentett mód ezzel parancs sor" és nyomja meg az "Enter" gombot.

    Figyelem! Ha a számítógép nem hajlandó csökkentett módba indulni, vagy a parancssor/rendszer-segédprogramok nem indulnak el, próbálja meg eltávolítani a Winlockert egy másik módszerrel (lásd alább).

    3. A parancssorba írja be az - msconfig parancsot, majd nyomja meg az "ENTER" billentyűt.

    4. A képernyőn megjelenik a Rendszerkonfiguráció panel. Nyissa meg az „Indítás” lapot, és alaposan tekintse át az elemek listáját a Winlocker jelenlétére vonatkozóan. A neve általában értelmetlen alfanumerikus kombinációkat tartalmaz („mc.exe”, „3dec23ghfdsk34.exe” stb.). Tiltsa le az összes gyanús fájlt, és emlékezzen/írja le a nevüket.

    5. Zárja be a panelt, és lépjen a parancssorba.

    6. Írja be a „regedit” (idézőjelek nélkül) + „ENTER” parancsot. Az aktiválás után megnyílik a Windows Registry Editor.

    7. A szerkesztő menü „Szerkesztés” részében kattintson a „Keresés...” gombra. Írja be az induláskor talált Winlocker nevét és kiterjesztését. Indítsa el a keresést a „Következő keresése...” gombbal. Minden olyan bejegyzést törölni kell, amelyen a vírus neve szerepel. Folytassa a szkennelést az "F3" billentyűvel, amíg az összes partíciót meg nem vizsgálta.

    8. Közvetlenül a szerkesztőben, a bal oldali oszlop mentén haladva nézze meg a könyvtárat:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon.

    A „shell” bejegyzésnek az „explorer.exe” értékűnek kell lennie; a „Userinit” bejegyzés: „C:\Windows\system32\userinit.exe”.

    Ellenkező esetben, ha rosszindulatú módosításokat észlel, használja a „Javítás” funkciót (jobb egérgomb - helyi menü) állítsa be a megfelelő értékeket.

    9. Zárja be a szerkesztőt, és lépjen újra a parancssorba.

    10. Most el kell távolítania a szalaghirdetést az asztalról. Ehhez írja be a sorba az „explorer” parancsot (idézőjelek nélkül). Amikor megjelenik a Windows rendszerhéj, távolítsa el az összes fájlt és parancsikont a következőből szokatlan nevek(amit nem telepített a rendszerre). Valószínűleg az egyik transzparens.

    11. Indítsa újra a Windowst normál módés győződjön meg arról, hogy sikerült eltávolítania a rosszindulatú programot:

    • ha a szalaghirdetés eltűnt, csatlakozzon az internethez, frissítse a telepített víruskereső adatbázist vagy használjon alternatív víruskereső terméket, és ellenőrizze a merevlemez összes partícióját;
    • ha a szalaghirdetés továbbra is blokkolja az operációs rendszert, használjon másik eltávolítási módszert. Lehet, hogy a számítógépét eltalálta egy Winlocker, amely egy kicsit más módon van „javítva” a rendszerben.

    Eltávolítás víruskereső segédprogramokkal

    A Winlockert eltávolító és lemezre író segédprogramok letöltéséhez egy másik, nem fertőzött számítógépre vagy laptopra lesz szüksége. Kérje meg szomszédját, elvtársát vagy barátját, hogy egy-két órára használja a számítógépét. Készítsen 3-4 üres lemezt (CD-R vagy DVD-R).

    Tanács! Ha tájékoztató jelleggel olvassa ezt a cikket, és számítógépe, hála Istennek, él és virul, akkor is töltse le a cikkben tárgyalt gyógyító segédprogramokat, és mentse őket lemezre vagy pendrive-ra. Egy előkészített „elsősegély-készlet” megduplázza az esélyét a vírusos zászló legyőzésére! Gyorsan és felesleges aggodalmak nélkül.

    1. Nyissa meg a segédprogram-fejlesztők hivatalos webhelyét - antiwinlocker.ru.

    2. Be kezdőlap Kattintson az AntiWinLockerLiveCd gombra.

    3. Új böngészőlapon megnyílik a programok terjesztésének letöltésére szolgáló hivatkozások listája. A „Lemezképek fertőzött rendszerek kezelésére” oszlopban kövesse az „AntiWinLockerLiveCd lemezkép letöltése” hivatkozást a régebbi (új) verzió számával (például 4.1.3).

    4. Töltse le a képet ISO formátumban a számítógépére.

    5. Írja be DVD-R/CD-R lemezre ImgBurn vagy Nero programban a „Kép írása lemezre” funkcióval. Az ISO-képet kicsomagolt formában kell megírni a megszerzéséhez indítólemez.

    6. Helyezze be az AntiWinLocker lemezt abba a számítógépbe, amelyen a szalaghirdetés tombol. Indítsa újra az operációs rendszert, és lépjen be a BIOS-ba (tudja meg gyorsbillentyű bejelentkezni a számítógépével kapcsolatban; lehetséges opciók a „Del”, „F7”). Állítsa be, hogy másról indítson, mint a merevlemezről ( rendszerpartíció C), hanem DVD-meghajtóról.

    7. Indítsa újra a számítógépet. Ha mindent helyesen csinált - helyesen írta a képet a lemezre, megváltoztatta a rendszerindítási beállításokat a BIOS-ban - az AntiWinLockerLiveCd segédprogram menüje megjelenik a monitoron.

    8. A ransomware vírus számítógépről történő automatikus eltávolításához kattintson a „START” gombra. Ez minden! Nincs szükség más műveletekre - a megsemmisítés egyetlen kattintással.

    9. Az eltávolítási eljárás végén a segédprogram jelentést készít az elvégzett munkáról (mely szolgáltatásokról és fájlokról oldotta fel a blokkolást és fertőtlenítette).

    10. Zárja be a segédprogramot. A rendszer újraindításakor lépjen be ismét a BIOS-ba, és adja meg a merevlemezről történő indítást. Indítsa el az operációs rendszert normál módban, és ellenőrizze a működését.

    WindowsUnlocker (Kaspersky Lab)

    1. Nyissa meg az sms.kaspersky.ru oldalt (a Kaspersky Lab irodai webhelye) a böngészőjében.

    2. Kattintson a „WindowsUnlocker letöltése” gombra (a „A szalaghirdetés eltávolítása” felirat alatt található).

    3. Várja meg, amíg a Kaspersky Rescue Disk rendszerindító lemezképe a WindowsUnlocker segédprogrammal letöltődik a számítógépére.

    4. Írja le ISO kép ugyanúgy, mint az AntiWinLockerLiveCd segédprogram – készítsünk indítólemezt.

    5. Konfigurálja a zárolt számítógép BIOS-át a DVD-meghajtóról történő rendszerindításhoz. Helyezze be a Kaspersky Rescue Disk LiveCD-t, és indítsa újra a rendszert.

    6. A segédprogram elindításához nyomja meg bármelyik billentyűt, majd a kurzornyilakkal válassza ki az interfész nyelvét („orosz”), majd nyomja meg az „ENTER” gombot.

    7. Olvassa el a szerződés feltételeit, és nyomja meg az „1” gombot (egyetértek).

    8. Amikor a Kaspersky Rescue Disk asztal megjelenik a képernyőn, kattintson a tálcán a bal szélső ikonra (kék alapon a „K” betű) a lemezmenü megnyitásához.

    9. Válassza a „Terminál” lehetőséget.

    10. A terminál ablakában (root:bash) a „kavrescue ~ #” prompt közelében írja be a „windowsunlocker” szót (idézőjelek nélkül), és aktiválja a direktívát az „ENTER” billentyűvel.

    11. Megjelenik a segédprogram menü. Nyomja meg az „1” gombot (Windows feloldása).

    12. A feloldás után zárja le a terminált.

    13. Már elérhető az operációs rendszer, de a vírus továbbra is ingyenes. Megsemmisítéséhez tegye a következőket:

    • csatlakozni az internetre;
    • indítsa el a „Kaspersky Rescue Disk” parancsikont az asztalon;
    • víruskereső aláírási adatbázisok frissítése;
    • válassza ki az ellenőrizendő objektumokat (a lista minden elemét célszerű ellenőrizni);
    • kattintson a bal gombbal az „Objektumok beolvasása” funkció aktiválásához;
    • Ha ransomware vírust észlel, válassza a „Törlés” lehetőséget a javasolt műveletek közül.

    14. A kezelés után a lemez főmenüjében kattintson a „Kikapcsolás” gombra. Amikor az operációs rendszer újraindul, lépjen be a BIOS-ba, és állítsa be a rendszerindítást a HDD-ről (merevlemezről). Mentse el a beállításokat, és indítsa el a Windows rendszert a szokásos módon.

    Számítógép-feloldó szolgáltatás a Dr.Web-től

    Ez a módszer magában foglalja a winlocker önmegsemmisítésre kényszerítését. Vagyis add meg neki, amit kér – egy feloldó kódot. Természetesen nem kell pénzt költenie, hogy megszerezze.

    1. Írja le a pénztárcát vagy telefonszámot, amelyet a támadók a feloldó kód megvásárlásához a szalaghirdetésen hagytak.

    2. Jelentkezzen be egy másik, „egészséges” számítógépről a Dr.Web feloldó szolgáltatásba - drweb.com/xperf/unlocker/.

    3. Írja be az átírt számot a mezőbe, majd kattintson a „Kódok keresése” gombra. A szolgáltatás automatikusan kiválasztja a feloldó kódot az Ön kérésének megfelelően.

    4. Írja át/másolja át a keresési eredményekben megjelenő összes kódot.

    Figyelem! Ha nem talál ilyet az adatbázisban, használja a Dr.Web ajánlását, hogy saját maga távolítsa el a Winlockert (kövesse a „Sajnos kérésére…” üzenet alatt található linket).

    5. A fertőzött számítógépen írja be a Dr.Web szolgáltatás által biztosított feloldó kódot a banner „interfészébe”.

    6. Ha a vírus önmagát megsemmisíti, frissítse a víruskeresőt, és ellenőrizze a merevlemez összes partícióját.

    Figyelem! Néha a szalaghirdetés nem reagál a kód beírására. Ebben az esetben más eltávolítási módszert kell alkalmaznia.

    Az MBR.Lock szalaghirdetés eltávolítása

    Az MBR.Lock az egyik legveszélyesebb winlocker. Módosítja a merevlemez fő rendszerindító rekordjának adatait és kódját. Sok felhasználó, aki nem tudja, hogyan távolítsa el az ilyen típusú banner ransomware-t, elkezdi újratelepíteni a Windows rendszert abban a reményben, hogy az eljárás után a számítógépe „helyreáll”. De sajnos ez nem történik meg - a vírus továbbra is blokkolja az operációs rendszert.

    Az MBR.Lock ransomware eltávolításához kövesse az alábbi lépéseket (opció Windows 7 esetén):
    1. Helyezze be a Windows telepítőlemezét (bármelyik verzió vagy build megteszi).

    2. Nyissa meg a következőt: Számítógép BIOS(a BIOS-ba való belépéshez szükséges gyorsbillentyűt a számítógép műszaki leírásában találja meg). Az első beállításban Indítóeszköz telepítse a „Cdrom”-ot (a rendszerindítás a DVD-meghajtóról).

    3. A rendszer újraindítása után betöltődik a Windows 7 telepítőlemeze Válassza ki a rendszer típusát (32/64 bit), a felület nyelvét, majd kattintson a „Tovább” gombra.

    4. A képernyő alján, a „Telepítés” opció alatt kattintson a „Rendszer-visszaállítás” lehetőségre.

    5. A „Rendszer-helyreállítási beállítások” panelen hagyjon mindent változatlanul, majd kattintson ismét a „Tovább” gombra.

    6. Válassza az Eszközök menü „Parancssor” opcióját.

    7. A parancssorba írja be a - bootrec /fixmbr parancsot, majd nyomja meg az Enter billentyűt. Rendszer segédprogram felülírja a rendszerindító rekordot, és ezáltal megsemmisíti a rosszindulatú kódot.

    8. Zárja be a parancssort, és kattintson az "Újraindítás" gombra.

    9. Vizsgálja meg számítógépét vírusok után a Dr.Web CureIt! vagy Vírus Eltávolító eszköz(Kaspersky).

    Érdemes megjegyezni, hogy vannak más módszerek is a Winlocker számítógépének kezelésére. Minél több eszköz van az arzenáljában a fertőzés leküzdésére, annál jobb. Általában, ahogy mondják, Isten védi az óvatosakat - ne kísértsd a sorsot: ne menj kétes oldalakra, és ne telepíts ismeretlen gyártók szoftvereit.

    Hagyja, hogy számítógépe elkerülje a ransomware bannereket. Sok szerencsét!

    A számítógép újraindítása után a monitoron megjelenik egy kérés, hogy küldjön egy fizetett SMS-t, vagy helyezzen be pénzt mobiltelefon-számlára?

    Ismerje meg, így néz ki egy tipikus ransomware vírus! Ez a vírus több ezer különböző formában és több száz változatban létezik. Egy egyszerű jelről azonban könnyen felismerhető: egy ismeretlen számra kér pénzt (hívást), cserébe megígéri, hogy feloldja a számítógépét. Mit kell tenni?

    Először is vedd észre, hogy ez egy vírus, aminek az a célja, hogy a lehető legtöbbet kiszívd magadból. több pénz. Éppen ezért ne engedjen provokációinak.

    Ne felejtsen el egy egyszerű dolgot, ne küldjön SMS-t. Kivonják az egyenlegen lévő összes pénzt (általában a kérésben 200-300 rubel szerepel). Néha két, három vagy több SMS küldésére van szükség. Ne feledje, a vírus nem fog eltűnni a számítógépéről, akár küld pénzt csalóknak, akár nem. A trójai winloc a számítógépén marad mindaddig, amíg el nem távolítja.

    A cselekvési terv a következő: 1. Távolítsa el a blokkot a számítógépről 2. Távolítsa el a vírust és kezelje a számítógépet.

    A számítógép feloldásának módjai:

    1. Írja be a feloldó kódotÉs. Az obszcén transzparens kezelésének leggyakoribb módja. A kódot itt találja: Dr.web, Kasperskiy, Nod32. Ne aggódjon, ha a kód nem működik, folytassa a következő lépéssel.

    2. Próbálja meg csökkentett módba indítani. Ehhez a számítógép bekapcsolása után nyomja meg az F8 billentyűt. Amikor megjelenik a rendszerindítási beállítások ablak, válassza ki a „csökkentett mód illesztőprogram-támogatással” lehetőséget, és várja meg, amíg a rendszer elindul.

    2a. Most pedig próbáljuk meg állítsa vissza a rendszert(start-standard-system-restore) egy korábbi ellenőrzőpontra. 2b. Hozzon létre egy újat fiókot. Lépjen a Start - Vezérlőpult - Fiókok menüpontra. Adjon hozzá egy új fiókot, és indítsa újra a számítógépet. Amikor bekapcsolja, válassza ki az újonnan létrehozott fiókot. Térjünk tovább a .

    3. Próbáld ki a ctrl+alt+del parancsot- meg kell jelennie a feladatkezelőnek. A gyógyító segédprogramokat a feladatkezelőn keresztül indítjuk el. (válassza ki a fájlt - egy új feladat és a programjaink). Egy másik módszer az, hogy lenyomva tartja a Ctrl + Shift + Esc billentyűket, és miközben lenyomva tartja ezeket a billentyűket, keressen és töröljön minden furcsa folyamatot, amíg az asztal fel nem oldódik.

    4. A legtöbb megbízható módon - Ez új operációs rendszer (operációs rendszer) telepítését jelenti. Ha feltétlenül meg kell tartania a régi operációs rendszert, akkor megvizsgálunk egy munkaigényesebb módszert ennek a szalaghirdetésnek a kezelésére. De nem kevésbé hatékony!

    Egy másik módszer (haladó felhasználók számára):

    5. Indítás lemezről LiveCD amelyen van egy rendszerleíró adatbázis szerkesztő program. A rendszer elindult, nyissa meg a rendszerleíróadatbázis-szerkesztőt. Ebben látni fogjuk az aktuális és a fertőzött rendszer nyilvántartását (bal oldali ágai zárójelben aláírással jelennek meg).

    Megtaláljuk a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon kulcsot - ott keressük a Userinit-et - a vessző után mindent törölünk. FIGYELEM! Maga a fájl „C:\Windows\system32\userinit.exe” NEM törölhető.);

    Nézze meg a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell kulcs értékét, hogy explorer.exe legyen. Elkészültünk a nyilvántartással.

    Ha megjelenik a „A rendszerleíró adatbázis szerkesztését a rendszergazda tiltja” hibaüzenet, töltse le az AVZ programot. Nyissa meg a "Fájl" - "Rendszer-visszaállítás" elemet - Jelölje be a "Regisztr.szerkesztő feloldása" lehetőséget, majd kattintson a "Kijelölt műveletek végrehajtása" gombra. A szerkesztő újra elérhető.

    Elindítjuk a Kaspersky eltávolító eszközt és a dr.web cureit-et, és átvizsgáljuk velük a teljes rendszert. Már csak az újraindítás és a visszatérés marad hátra bios beállítások. A vírust azonban még NEM távolították el a számítógépről.

    A számítógép kezelése a trójai WinLock segítségével

    Ehhez szükségünk van:
    - ReCleaner rendszerleíró adatbázis szerkesztő
    - népszerű vírusirtó Szerszám eltávolítása Kaspersky
    - híres vírusirtó Dr.web cureit
    - hatékony vírusirtó Removeit pro
    - Plstfix beállításjegyzék-javító segédprogram
    - Program ideiglenes fájlok eltávolítására ATF Cleaner

    1. Meg kell szabadulni a vírustól a rendszerben. Ehhez indítsa el a rendszerleíróadatbázis-szerkesztőt. Menjen a Menü - Feladatok - Indítsa el a Rendszerleíróadatbázis-szerkesztőt. Meg kell találni:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - ott keressük a Userinit részt - a vessző után mindent törölünk. FIGYELEM! Maga a fájl „C:\Windows\system32\userinit.exe” NEM törölhető.);

    Nézd meg a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell kulcs értékét, ott explorer.exe fájlnak kell lennie. Elkészültünk a nyilvántartással.

    Most válassza az "Indítás" fület. Átnézzük az indítási elemeket, bejelöljük a jelölőnégyzeteket, és töröljük (jobb alsó sarokban) mindazt, amit nem telepített, így csak a desktop és a ctfmon.exe marad. A fennmaradó svchost.exe és other.exe folyamatokat el kell távolítani a Windows könyvtárból.
    Válassza a Feladat - Rendszerleíró adatbázis törlése - Az összes lehetőséget. A program átvizsgálja a teljes rendszerleíró adatbázist, és mindent véglegesen töröl.

    2. Magának a kódnak a megtalálásához a következő segédprogramokra van szükségünk: Kaspersky, Dr.Web és RemoveIT. Megjegyzés: A RemoveIT felkéri a vírusszignatúra adatbázisok frissítésére. Frissítés közben internetkapcsolatot kell létrehozni!
    Ezekkel a programokkal átvizsgáljuk a rendszerlemezt, és mindent törölünk, amit találnak. Ha szeretné, minden esetre ellenőrizheti a számítógép összes meghajtóját. Sokkal tovább tart, de megbízhatóbb.

    3. A következő segédprogram a Plstfix. Visszaállítja a rendszerleíró adatbázist a rajta végzett műveleteink után. Ennek eredményeként a feladatkezelő és a csökkentett mód újra működni kezd.

    4. Minden esetre törölje az összes ideiglenes fájlt. Ezekben a mappákban gyakran el vannak rejtve a vírus másolatai. Így előfordulhat, hogy még a jól ismert antivírusok sem észlelik őket. Jobb kézzel eltávolítani mindent, ami nem befolyásolja jelentősen a rendszer működését. Telepítse az ATF Cleanert, jelöljön meg mindent, és törölje.

    5. Indítsa újra a rendszert. Minden működik! még jobban, mint eddig :).

    A Winlocker trójaiak olyan rosszindulatú programok, amelyek az asztali számítógéphez való hozzáférés blokkolásával pénzt csalnak ki a felhasználótól – állítólag ha átutalja a szükséges összeget a támadó számlájára, feloldó kódot kap.

    Ha a számítógép bekapcsolása után az asztal helyett a következőket látja:

    Vagy valami más ugyanebben a szellemben - fenyegető feliratokkal, és néha obszcén képekkel, ne rohanjon minden bűnnel vádolni szeretteit.

    Ők, és talán te magad is zsarolóvírusok áldozatai lettek.

    Hogyan kerülnek a zsarolóprogram-blokkolók a számítógépére?

    A blokkolók leggyakrabban a következő módokon jutnak el a számítógépéhez:

    • feltört programokon, valamint fizetős szoftverek (crack, keygens stb.) feltörésére szolgáló eszközökön keresztül;
    • közösségi oldalak üzeneteiből származó linkeken keresztül letöltve, állítólag ismerősöktől, de valójában támadók által feltört oldalakról;
    • adathalász webes forrásokból letöltve, amelyek jól ismert webhelyeket utánoznak, de valójában kifejezetten vírusok terjesztésére készültek;
    • érkezzen e-mailben, csatolmány formájában, érdekes tartalmú leveleket kísérve: „beperelték...”, „lefényképezték a tetthelyen”, „egymilliót nyertél” és hasonlók.

    Figyelem! A pornográf bannereket nem mindig töltik le pornóoldalakról. A leghétköznapibbak közül is megtehetik.

    A zsarolóvírusok egy másik típusa is hasonló módon terjed - a böngészőblokkolók. Például így:

    vagy így:

    Pénzt követelnek azért, hogy böngészőn keresztül böngészhessenek az interneten.

    Hogyan lehet eltávolítani a „Windows blokkolt” szalaghirdetést és hasonlókat?

    Ha az asztal le van tiltva, és egy vírusszalag megakadályozza a programok futtatását a számítógépen, a következőket teheti:

    • lépjen csökkentett módba parancssori támogatással, indítsa el a rendszerleíróadatbázis-szerkesztőt, és törölje a szalaghirdetés automatikus futtatási kulcsait.
    • indítsa el az élő CD-t ("élő" lemez), például az ERD parancsot, és távolítsa el a szalaghirdetést a számítógépről mind a beállításjegyzéken (autorun kulcsok), mind az Exploreren (fájlok) keresztül.
    • szkennelje át a rendszert egy indítólemezről vírusirtóval, például Dr.Web LiveDisk vagy Kaspersky Rescue Disk 10.

    1. módszer. A Winlocker eltávolítása csökkentett módból konzoltámogatással.

    Szóval, hogyan lehet eltávolítani egy szalaghirdetést a számítógépről a parancssoron keresztül?

    Windows XP és 7 operációs rendszert futtató gépeken a rendszer indulása előtt gyorsan meg kell nyomni az F8 billentyűt, és ki kell választani a megjelölt elemet a menüből (Windows 8\8.1-ben nincs ilyen menü, ezért innen kell indítani telepítő lemezés onnan futtassa a parancssort).

    Az asztali számítógép helyett egy konzol nyílik meg előtted. A beállításszerkesztő elindításához írja be a parancsot regedités nyomja meg az Entert.

    Ezután nyissa meg a rendszerleíróadatbázis-szerkesztőt, keresse meg benne a vírusbejegyzéseket, és javítsa ki.

    A ransomware bannereket leggyakrabban a következő szakaszokban regisztrálják:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- itt megváltoztatják a Shell, Userinit és Uihost paraméterek értékeit (az utolsó paraméter csak a Windows XP rendszerben érhető el). Normálra kell javítania őket:

    • Shell = Explorer.exe
    • Userinit = C:\WINDOWS\system32\userinit.exe, (C: a rendszerpartíció betűjele. Ha a Windows a D meghajtón van, a Userinit elérési útja D betűvel kezdődik:)
    • Uihost = LogonUI.exe

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- lásd az AppInit_DLLs paramétert. Normális esetben előfordulhat, hogy hiányzik, vagy üres az értéke.

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- itt a ransomware létrehoz egy új paramétert egy értékkel a blokkolófájl elérési útja formájában. A paraméter neve lehet egy karakterlánc, például dkfjghk. Teljesen el kell távolítani.

    Ugyanez vonatkozik a következő szakaszokra:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

    A rendszerleíró kulcsok javításához kattintson a jobb gombbal a paraméterre, válassza a „Módosítás” lehetőséget, írjon be egy új értéket, majd kattintson az OK gombra.

    Ezt követően indítsa újra a számítógépet normál módban, és futtasson egy víruskeresőt, amely eltávolítja az összes zsarolóvírus-fájlt a merevlemezről.

    2. módszer. A Winlocker eltávolítása az ERD Commander segítségével.

    Az ERD parancsnok számos eszközt tartalmaz Windows helyreállítás, beleértve a trójai blokkolók által okozott sérüléseket is.

    A beépített ERDregedit rendszerleíró adatbázis-szerkesztővel ugyanazokat a műveleteket hajthatja végre, mint ahogy fentebb leírtuk.

    Az ERD parancsnok nélkülözhetetlen lesz, ha a Windows minden módban le van zárva. Ennek másolatait illegálisan terjesztik, de könnyen megtalálhatók az interneten.

    ERD parancsnoki készletek mindenkinek Windows verziók az MSDaRT (Microsoft Diagnostic & Recovery Toolset) rendszerindító lemezek, ISO formátumban érkeznek, ami kényelmes DVD-re íráshoz vagy flash meghajtóra való átvitelhez.

    Az ilyen lemezről való indítás után ki kell választania a rendszer verzióját, mennie kell a menübe, és kattintson a Rendszerleíróadatbázis-szerkesztő elemre.

    A Windows XP rendszerben az eljárás kissé eltér - itt meg kell nyitnia a Start menüt, válassza a Felügyeleti eszközök és a Rendszerleíróadatbázis-szerkesztő lehetőséget.

    A rendszerleíró adatbázis szerkesztése után indítsa újra a Windowst - valószínűleg nem fogja látni a „Számítógép le van tiltva” szalagcímet.

    3. módszer. A blokkoló eltávolítása víruskereső „mentőlemez” használatával.

    Ez a legegyszerűbb, de egyben a leghosszabb feloldási módszer.

    Elég a Dr.Web LiveDisk vagy a Kaspersky Rescue Disk képfájlt DVD-re kiírni, elindítani róla, elkezdeni a keresést és megvárni a befejezést. A vírus elpusztul.

    A szalaghirdetések eltávolítása a számítógépről Dr.Web és Kaspersky lemezekkel egyaránt hatékony.

    Képzeljük el rendszeres felhasználó számítógép. Ez az a személy, aki leggyakrabban minimális tudással rendelkezik eszköze vírusok elleni védelméről. Ennek ellenére az összes kívánt oldalra „utazik”, követi a javasolt linkeket, anélkül, hogy egyáltalán gondolna cselekedeteinek lehetséges veszélyeire. És egy pillanatban a következő képet látja maga előtt: a számítógép képernyője le van zárva, és a támadók pénzt követelnek a zár feloldásáért. Mi a teendő, hogyan kell eltávolítani a bannert?

    A blokkolás okai. Miért kell ez bárkinek?

    Számos módja van a számítógép zárolásának. Leggyakrabban ez azért történik, mert a felhasználó pornográf oldalakat látogat meg, vagy olyan rosszindulatú programokat tölt le és telepít, amelyek az egész világon elterjedtek. Ennek eredményeként, ha ez először történik meg Önnel, akkor még attól is félhet, hogy mi jelenik meg a számítógép képernyőjén. Az üzenet illegális információgyűjtéssel és sok más bűnnel vádolhatja Önt. Ezután megkérik, hogy fizessen a feloldási lehetőségért. Részletesen megmondják, hova és mennyi pénzt utaljon át ehhez. A kért ár 500 és 2000 rubel között van. De a legfontosabb dolog az, hogy az SMS elküldése után senki nem fog feloldani semmit. Tehát nem kell fizetnie senkinek semmit. Tovább Ebben a pillanatban idővel többféleképpen is megoldhatja a problémát anélkül, hogy pénzt dobna ki.

    Milyen veszélyekkel jár a Windows zárolása?

    Először is, ez a probléma csak licenc nélküli verzió esetén fordulhat elő operációs rendszer. A licencet folyamatosan és rendszeresen frissítik, így biztonságosabban védett. Az ilyen vírust folyamatosan fejlesztik, vagyis egyre veszélyesebbé válik, hogy bevételt szerezzenek szerzőinek. Miért olyan veszélyes? Az a tény, hogy nem csak indításkor van regisztrálva, hanem sokkal mélyebbre van „temetve”, aminek köszönhetően csak szolgáltatások és illesztőprogramok betöltésekor, valamint csökkentett módban is működhet. Ezek után meglehetősen nehéz működésre bírni a készüléket. De azért ez nem teljesen reménytelen ügy. Nézzünk meg néhány módszert a számítógép újraélesztésére, hogyan távolítsuk el a szalagcímet és kapjuk meg a lehetőséget, hogy újra teljes mértékben dolgozhassunk.

    Oldja fel a Windows feloldását a Malwarebytes Anti-Malware segítségével

    Ez a módszer nem mindig biztosítja a feladat elvégzését. Ebben az esetben más módszert is használhat.

    Vírus eltávolítása a Dr.Web LiveCD segítségével

    Az egy dolog, amikor egy vírus megköveteli, hogy küldjön egy fizetett SMS-t a számítógép zárolásának feloldásához. Ebben az esetben néha fizetés után a probléma megoldható. Egyáltalán nem tény, ahogy már írták, de van rá lehetőség.

    Más kérdés, ha az eszközödet megfertőzte a Winlock nevű rosszindulatú program. Ez a vírus könnyen törölheti az összes adatát, és akár pornográfia terjesztésével is megvádolhat. De a legrosszabb az, hogy még az operációs rendszer indulása előtt blokkolja a rendszert. Vagyis a fenti módszer itt nem alkalmazható. Semmi, a fertőzés megsemmisítésére egy másik lehetőséget használunk - kedvenc cégünk, Dr.Web indítólemezét. Hozzon létre egy ilyen lemezt, és kezdje el.

    1. Behelyezzük a meghajtóba, majd újraindítjuk az eszközt.
    2. Ha vírus jelenik meg, ami lehetséges, akkor lépjen a BIOS-ba, ahol beállítjuk, hogy flash meghajtóról vagy meghajtóról induljon. Újraindítjuk.
    3. Most nagy valószínűséggel minden rendben lesz. Állítsa be a nyelvet oroszra, és lépjen tovább.
    4. Várnia kell egy kicsit, amíg a letöltés megtörténik. Megjelenik a víruskereső ablak. Kattintson a „Szkenner” melletti „Go” gombra.
    5. Elindult a számítógépes víruskeresés. Várjuk, hogy a Dr.Web megtalálja a zsarolóvírusunkat, és eltávolítsa azt. Ezek után kiválasztjuk teljes ellenőrzésés indítsa el.
    6. Amikor a víruskereső fenyegetést észlel, értesít minket.

    Végül a Dr.Web LiveCD segítségével fertőtlenítjük a registry-t, és fordítva. Néha a ransomware vírus ezek után eltűnik, és többé nem kell teljes vizsgálatot futtatni. Kísérletet teszünk a számítógép bekapcsolására, és reméljük, hogy befejeztük a szalaghirdetés eltávolításának feladatát. A Windowst többé nem szabad blokkolni, ez már a múlté. És egy másik módszert is elsajátítottunk a vírus elleni küzdelemben.

    A kódok feloldása és az Avz segédprogram

    Van egy lehetőség, amely bizonyos esetekben szintén segíthet nekünk. Az operációs rendszer feloldásához szükséges kódok a Dr.Web webhelyen találhatók. Ki kell választanunk egy képernyőképet a vírusunkról a listából, és meglátjuk szükséges kódot. Megadhatja azt a telefonszámot is, amelyre SMS-t szeretne küldeni, kattintson a keresés gombra - és megkapjuk a kódot. A feloldás után fertőtlenítenie kell számítógépét egy szokásos víruskereső segítségével. Ha ez nem működik, használhatja a jól ismert Avz segédprogramot.

    1. Ehhez szükségünk van: egy lemez/flash drive és egy számítógép.
    2. Töltse le és mentse a segédprogramot cserélhető adathordozóra.
    3. Válassza ki a „Biztonság parancssori támogatással” rendszerindítási opciót az F8 billentyű lenyomásával a folyamat elején.
    4. Ha a folyamat normális, megjelenik a parancssor.
    5. A cserélhető adathordozót behelyezzük a készülékbe.
    6. Megírjuk az explorert, és megnyomjuk az enter gombot.
    7. Előttünk a „Sajátgép”.
    8. tovább találjuk cserélhető adathordozó az avz.exe segédprogramot, és futtassa.
    9. Követjük a következő tanfolyamot: "Fájl - Hibaelhárítás varázsló, Rendszer problémák - Minden probléma", jelölje be az összes négyzetet, kivéve a "Letiltva" lehetőséget. automatikus frissítés rendszer" és az összes "Automatikus indítás engedélyezett innen...". Ezt követően kattintson a „Megjegyzett problémák javítása” elemre.
    10. Ellenőrizzük az összes problémát a „Böngésző beállításai és módosításai” részben, és kattintson a „Javítás” gombra.
    11. Az „Adatvédelem” részben analógia útján megjegyezzük az összes problémát.
    12. Avz-ben maradva zárja be az ablakot. Kattintson a „Szolgáltatás”, majd az „Explorer Extensions Manager” elemre, és törölje a feketével írt elemek jelölését.
    13. Most kapcsolja be a „Szolgáltatás”, majd az „IE Extension Manager” elemet. Egy lista jelenik meg előttünk, az összes sort töröljük.
    14. Újraindítjuk a számítógépet, ami után nagy valószínűséggel nem lesz több probléma. Megtisztítására elindítunk egy hagyományos vírusirtót. A szalaghirdetés eltávolításának problémája megoldódott.

    Következtetés

    Ez messze nem az egyetlen módja a ransomware eltávolításának. Használhat szkripteket, a Kaspersky víruseltávolító eszközét, és újratelepítheti az operációs rendszert. Az is előfordul, hogy a szalaghirdetés törlése nem fájdalommentes a számítógép számára. Lehet, hogy az asztal üres, és az egérkurzor nem fog működni. Az első lehetőség a hibák kijavítására a csökkentett mód és az alatta lévő eszköz fertőtlenítése. De ez nem mindig segít. Ebben az esetben a számítógépet cserélhető adathordozóról kell indítania. A Windows speciális disztribúciókkal rendelkezik erre. Indítjuk és kikeményítjük a készüléket. Most végre rájöttünk, hogyan távolíthatunk el egy bannert az asztalról. Fontos tanács: a leírt kezelés nem könnyű a „nem haladó” számítógép-használó számára. Az ilyen emberek számára, ha nem bíznak a képességeikben, jobb, ha szakemberekhez fordulnak.

    A mi időnkben információs technológiák A számítógépeket az emberi tevékenység szinte minden területén bevezették. A modern élet már nem képzelhető el a technika e csodája nélkül.

    A számítógépek azonban régóta a támadók célpontjai. Valószínűleg minden második internetfelhasználó találkozott vele számítógépes vírusok. „Elkapni” őket nem nehéz, mert még a legtöbb legjobb vírusirtó nem mindig képesek felismerni és semlegesíteni ezeket rosszindulatú. Néha még a látszólag biztonságos webhelyeken is elkaphat egy vagy több vírust.

    A tapasztalatlan internetezők gyakran telepítenek programokat innen ismeretlen kiadók gyanús oldalakról, ami a számítógépek megfertőzéséhez vezet rosszindulatú kóddal, meghatározott célokra: személyes adatok és jelszavak ellopása különböző forrásokból, a számítógép ellenőrzött gépként történő használata, spam küldés, elkövetés. hacker támadások stb.

    Nagyon gyakran vírusokat használnak pénzzsarolásra. A közönséges vírusok mellett a bannervírusok is az utóbbi időben „népszerűvé” váltak. Ha a közönséges rosszindulatú programok nem zavarják a számítógép normál működését, hanem egyszerűen „megeszik” az Exe fájlokat, ellopják a jelszavakat, módosítanak fájlokat és más dolgokat csinálnak, akkor a bannervírusok gyakran blokkolják az egész asztalt, megakadályozva, hogy bármit is tegyen.

    Először is azonnal blokkolják a feladatkezelőt, hogy ne tudja kirakni őket véletlen hozzáférésű memória. Másodszor, a bannervírusok lefedhetik az egész asztalt, lehetetlenné téve az operációs rendszer menüjébe való belépést vagy bármely program megnyitását. De előfordul, hogy például csak az asztal negyedét fedik le, de a kurzor nem mozgatható túl a banner határain. Így a támadók meg akarják szüntetni a törlés lehetőségét rosszindulatú kód számítógépéről.

    A bannervírus egy olyan ablak, amely rendszerint arra kér, hogy küldjön SMS-t mobilszám vagy utaljon pénzt elektronikus pénztárcába. Semmilyen körülmények között ne tegye ezt, különben 200-1000 rubelt veszít (bizonyos tényezőktől függően), és a szalaghirdetés az asztalon marad, mert előfordulhat, hogy a támadók nem küldik el a kódot a szalaghirdetés eltávolításához. A banner egyébként néha azt írja, hogy ha 24 órán belül nem küldesz SMS-t, akkor az operációs rendszer soha többé nem indul el. Ezt szintén nem szabad elhinni.

    Ne rohanjon azonnal a rendszer újratelepítésével. Természetesen első pillantásra ez tűnik a legtöbbnek egyszerű megoldás, de megéri? Végtére is, újratelepítés után az összes dokumentumot és egyéb fontos fájlokat, és maga a telepítés eltart egy ideig. És utána vissza kell állítania a rendszermeghajtón lévő összes programot.

    Ez az operációs rendszertől és a szükséges alkalmazások számától függően körülbelül fél órát vesz igénybe. Windows telepítés A 7 átlagosan 15 percet vesz igénybe, a Windows XP telepítése pedig 20-30 perc alatt. Gondoljon arra, hogy nem kell-e pazarolnia az idejét az operációs rendszer újratelepítésével, ha megteheti nélküle?

    A bannervírust többféleképpen lehet eltávolítani:

    1. Különféle gyógyító segédprogramok a népszerű víruskeresőktől;
    2. A kód beírásával a banner mezőbe. A különböző bannerek kódjainak listája ugyanazon vírusirtó szoftvergyártók (Kaspersky és Doctor Web) weboldalain érhető el;
    3. Manuálisan.

    Érdemes megjegyezni, hogy az első 2 módszer hatástalan lehet, különösen a második. A támadók nem állnak egy helyben, és folyamatosan frissítik a vírusaikat, így előfordulhat, hogy a víruskereső programok webhelyein megjelenő kódok nem működnek.

    A szalaghirdetések vírusait a legjobb manuálisan eltávolítani. Ez a legegyszerűbb és hatékony módszer. De nem mindenki tudja ezt megtenni, mert nem tudja, hogyan. Ebben az esetben a számítógép mentésének kulcsa a „csökkentett mód”. Ez a mód lehetővé teszi a vírus megtalálását és eltávolítását.

    A számítógép indításakor meg kell nyomnia az F8 billentyűt. Számos csökkentett mód opciónak kell megjelennie. Itt ki kell választania vagy csak a „csökkentett módot” vagy a „csökkentett módot rendszerindítással” hálózati illesztőprogramok" A második esetben, amikor bekapcsolja a számítógépet, az internet elérhető lesz az Ön számára, az első esetben pedig le lesz tiltva.

    Egyébként egyes bannervírusok csökkentett módban is működhetnek, így ha ez megtörténik, újra kell indítania a számítógépet, és más típusú csökkentett módot kell választania. Előbb-utóbb ez az idegesítő banner úgysem töltődik be, könnyen megtalálhatod és hatástalaníthatod.

    Tehát az első dolog, amit csökkentett módban meg kell tennie, hogy engedélyezze a rejtett fájlok megjelenítését, mivel a legtöbb esetben a vírusok igen rejtett fájlok. A bannervírusok „élőhelye” általában a következő mappák rendszerlemez: Program fájlok, Windows/System32, Saját dokumentumok és más helyeken. Ott nagyon könnyű megtalálni őket.

    Az első dolog, amit meg kell tennie, hogy ellenőrizze, hogy vannak-e gyanús fájlok. Ha például egy ilyen fájlt lát: „452364qfegagrhwa”, akkor ez egy vírus, mivel a legtöbb esetben ezeknek a rosszindulatú programoknak a nevei értelmetlen számok és betűk halmaza.

    Meg kell nézni a gyanús fájl kiterjesztését (formátumát) is. Néha így néz ki - „banner”. Ebben az esetben azonnal egyértelmű, hogy ez egy vírus. A fertőzött fájlokkal kapcsolatos közvetett gyanúra utalhat annak mérete. Ha kicsi, több bájt vagy kilobájt nagyságrendű, akkor azonnal világossá válik, hogy ez a fájl valószínűleg fertőzött.

    A vírus észlelésének legegyszerűbb módja a mappák és fájlok módosításának dátuma. Ha a keresések nem vezetnek semmire, akkor egyenként vigye a kurzort a rendszermeghajtó gyökérmappáira, és nézze meg, hogy mi a módosítási dátumuk. Fogadja el, hogy vírus nem lehet abban a mappában, amelyet egy hónapja vagy egy éve módosítottak. Ha számítógépét 20 perce banner fertőzte meg, akkor ennek megfelelően meg kell keresnie azt a mappát és fájlt, amelyet pontosan 20 perce módosítottak. Ha megtalálják szükséges fájl, akkor nyugodtan törölheti. És ha továbbra is kételkedne a fájlkiválasztás helyességében, készíthet másolatot róla, és mentheti az asztalra.

    Egyes bannereket azonban nagyon nehéz felismerni, mert néha egy adott programnak, pontosabban egy olyan programkomponensnek álcázzák őket, amelynek ugyanaz a „súlya”, azonos a neve és a formátuma. Itt a legjobb, ha vírusirtóval ellenőrizzük a számítógépünket, vagy ami még jobb, nem csak egyet, hanem egyszerre többet is. Ehhez elindíthatja a számítógépet csökkentett módban a hálózati illesztőprogramok támogatásával, letölthet egy gyógyító segédprogramot, például a Dr.Web CureIt, és átvizsgálhatja vele a teljes számítógépet.

    De egyáltalán nem kell a fenti módszerek mindegyikét igénybe vennie. Hiszen, mint tudják, hatékonyabb nem a következményekkel foglalkozni, hanem kiküszöbölni azok kiváltó okát. A számítógép védelme érdekében néhány egyszerű ajánlást kell követnie:

    • Ne menjen gyanús webhelyekre;
    • Használja a legújabb víruskereső szoftvert víruskereső adatbázisok;
    • Ne futtasson gyanús fájlokat;
    • Ne fogadja el, hogy videók és animációk megtekintéséhez bővítményeket telepítsen, kivéve Adobe Flash lejátszó (jobb letölteni a hivatalos webhelyről).

    Ha betartja ezeket a szabályokat, minimális lesz a vírusok bejutásának valószínűsége a számítógépen. Mindig szigorúan figyelje, mit telepít, és ne keressen fel gyanús webhelyeket. Egyébként a vírusirtókon kívül figyelmeztetnek a gyanús oldalakra, sőt blokkolják is őket modern böngészők, így most nagyon nehéz „elkapni” egy bannervírust.

    Legyen éber, és akkor egyetlen vírus sem hatol be a számítógépébe!