###
  • Programe
  • Siguranță
  • Știri
  • Interesant
  • Sfat
  • Știri
  • Recenzii

    • Cum să scapi de bannerul ransomware. Înlăturăm singuri bannerul de pe computer. Disc de pornire sau flash

    18.11.2019 Interesant

    Vă cer posibila participare la problema mea. Intrebarea mea este aceasta: Cum să eliminați un banner: „Trimite SMS”, sistem de operare Windows 7. Apropo, al doilea sistem este pe al meu computer Windows XP a fost blocat și de un banner în urmă cu o lună, sunt un utilizator atât de nefericit. Nu pot intra în modul sigur, dar am reușit să intru Computer Troubleshooting și de acolo rulez System Restore și a apărut eroarea - Nu există puncte de restaurare pe discul de sistem al acestui computer.

    Nu a fost posibil să găsiți codul de deblocare pe site-ul Dr.Web, precum și pe ESET. Recent, am reușit să elimin un astfel de banner de la un prieten folosind ESET NOD32 LiveCD System Recovery Disk, dar în cazul meu nu ajută. Am încercat și Dr.Web LiveCD. Am setat ceasul din BIOS cu un an înainte, bannerul nu a dispărut. Pe diferite forumuri de pe Internet, se recomandă corectarea parametrilor UserInit și Shell din cheia de registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Dar cum ajung acolo? Folosești LiveCD? Aproape toate discurile LiveCD nu se conectează la sistemul de operare și operațiuni precum editarea registrului, vizualizarea obiectelor de pornire, precum și jurnalele de evenimente nu sunt disponibile de pe un astfel de disc sau mă înșel.

    În general, există informații despre cum să eliminați un banner de pe Internet, dar în general nu este complet și mi se pare că mulți oameni copiază aceste informații undeva și le publică pe site-ul lor, astfel încât să fie doar acolo, dar întreabă. cum funcționează totul, vor ridica din umeri. Cred că acesta nu este cazul tău, dar, în general, vreau să găsesc și să elimin singur virusul, m-am săturat să reinstalez sistemul. Și ultima întrebare - există o diferență fundamentală în metodele de eliminare a bannerelor ransomware în sistemele de operare Windows XP și Windows 7. Puteți ajuta?

    Cum să eliminați un banner

    Există destul de multe moduri de a te ajuta să scapi de virus, acesta se mai numește și Trojan.Winlock, dar dacă ești un utilizator începător, toate aceste metode vor necesita răbdare, rezistență și înțelegere din partea ta că ai întâlnit un inamic serios. , dacă nu vă este frică, să începem.

    • Articolul s-a dovedit a fi lung, dar tot ceea ce s-a spus funcționează într-adevăr ca într-o sală de operație sistem Windows 7, iar în Windows XP, dacă există o diferență undeva, cu siguranță voi nota acest punct. Cel mai important lucru de știut este elimina bannerulși recuperați rapid sistemul de operare, nu va funcționa întotdeauna, dar este inutil să puneți bani în contul estorsionarului, nu veți primi niciun cod de deblocare înapoi, așa că există un stimulent să luptați pentru sistemul dvs.
    • Prieteni, în acest articol vom lucra cu mediul Recuperare Windows 7, sau mai precis cu linia de comandă a mediului de recuperare. Îți voi da comenzile necesare, dar dacă îți este greu să le ții minte, poți. Acest lucru vă va ușura mult munca.

    Să începem cu cel mai simplu și să terminăm cu complexul. Cum să eliminați un banner folosind modul sigur . Dacă navigarea pe internet s-a încheiat fără succes și ați instalat neintenționat un cod rău intenționat, atunci trebuie să începeți cu cel mai simplu lucru - încercați să intrați în Safe Mode (din păcate, în majoritatea cazurilor nu veți reuși, dar merită să încercați), dar Cu siguranta vei putea intra(mai multe șanse), trebuie să faceți același lucru în ambele moduri, să ne uităm la ambele opțiuni.

    În faza inițială de încărcare a computerului, apăsați F-8, apoi selectați, dacă reușiți să vă conectați la el, atunci puteți spune că sunteți foarte norocos și sarcina este simplificată pentru dvs. Primul lucru pe care trebuie să-l încercați este să reveniți ceva timp folosind punctele de restaurare. Pentru cei care nu știu cum să folosească recuperarea sistemului, citiți în detaliu aici -. Dacă restaurarea sistemului nu funcționează, încercați altceva.

    În linia Run, tastați msconfig ,

    Nici tu n-ar trebui să ai nimic în folder. Sau este situat la

    C:\Utilizatori\Nume utilizator\AppData\Roaming\Microsoft\Windows\Meniu Start\Programe\Startup.

    Notă importantă: Prieteni, în acest articol va trebui să vă ocupați în principal de foldere care au atributul Hidden (de exemplu AppData etc.), deci imediat ce intrați în Modul sigur sau Modul sigur cu suport pentru linia de comandă, porniți-l imediat în sistem afișând fișierele și folderele ascunse, altfel pur și simplu nu veți vedea folderele necesare în care este ascuns virusul. Este foarte ușor de făcut.

    Windows XP
    Deschideți orice folder și faceți clic pe meniul „Instrumente”, selectați „Opțiuni folder”, apoi accesați fila „Vizualizare”. Apoi, în partea de jos, verificați elementul „” și faceți clic pe OK

    Windows 7
    Start -> Panou de control-> Vizualizare: Categorie - Pictograme mici -> Opțiuni folder -> Vizualizare. În partea de jos, bifați caseta „ Spectacol fișiere ascunseși foldere».

    Deci, să revenim la articol. Să ne uităm la folder, nu ar trebui să ai nimic în el.

    Asigurați-vă că în rădăcina unității (C:), nu există foldere și fișiere nefamiliare sau suspecte, de exemplu, cu un nume atât de neînțeles OYSQFGVXZ.exe, dacă există, trebuie să le ștergeți.

    Acum atenție: în Windows XP, ștergem fișierele suspecte (un exemplu este vizibil mai sus în captură de ecran) cu nume ciudate și

    cu extensia .exe din foldere

    C:\
    C:\Documente și setări\Nume utilizator\Date aplicație
    C:\Documente și setări\Nume utilizator\Setări locale
    C:\Documente și setări\Nume utilizator\Setări locale\Temp    - ștergeți totul de aici, acesta este folderul cu fișiere temporare.

    Windows 7 are nivel bun securitate și, în majoritatea cazurilor, nu va permite programelor rău intenționate să facă modificări în registry, iar marea majoritate a virușilor se străduiește, de asemenea, să intre în directorul de fișiere temporare:
    C:\USERS\nume utilizator\AppData\Local\Temp, de aici puteți rula fișierul executabil.exe. De exemplu, aduc un computer infectat, pe captură de ecran vedem fișierul virus 24kkk290347.exe și un alt grup de fișiere create de sistem aproape în același timp împreună cu virusul; totul trebuie șters.

    Nu ar trebui să fie nimic suspect în ele; dacă există, le ștergem.

    Și, de asemenea, asigurați-vă că:

    În cele mai multe cazuri, pașii de mai sus vor elimina bannerul și vor permite sistemului să pornească normal. După încărcarea normală scanează-ți întregul computer cu un scaner antivirus gratuit cu ultimele actualizări- Dr.Web CureIt, descărcați-l de pe site-ul Dr.Web.

    • Notă: Puteți infecta imediat un sistem pornit normal cu un virus din nou accesând online, deoarece browserul va deschide toate paginile site-urilor pe care le-ați vizitat recent, printre acestea va fi în mod natural un site cu virus și poate fi prezent și un fișier de virus. în folderele temporare ale browserului. Găsim și, pe care le-ați folosit recent la: C:\Users\Username\AppData\Roaming\Browser name, (Opera sau Mozilla de exemplu) și într-un singur loc C:\Users\Username\AppData\Local\Your browser name, unde (C:) este partiția cu sistemul de operare instalat. Bineinteles dupa a acestei actiuni Toate marcajele dvs. vor fi pierdute, dar riscul de a vă infecta din nou este redus semnificativ.

    Modul sigur cu suport pentru linia de comandă.

    Dacă după toate acestea bannerul tău este încă în viață, nu renunța și citește mai departe. Sau măcar mergi la mijlocul articolului și citește informatii complete despre corectarea setărilor de registry în cazul infectării cu banner ransomware.

    Ce ar trebui să fac dacă nu pot intra în modul sigur? Incearca-l Modul sigur cu suport pentru linia de comandă, Acolo facem același lucru, dar există o diferență V Comenzi Windows XP și Windows 7.

    Aplicați Restaurare sistem.
    În Windows 7, introduceți rstrui.exe și apăsați Enter - ajungem la fereastra System Restore.

    Sau încercați să tastați comanda: explorer - se va încărca ceva de genul unui desktop, unde puteți deschide computerul meu și puteți face totul la fel ca în modul sigur - verificați computerul pentru viruși, uitați-vă la folderul Startup și rădăcina unității (C :), precum și fișierele temporare ale directorului: editați registrul după cum este necesar și așa mai departe.

    Pentru a intra în Windows XP System Restore, tastați în linia de comandă - %systemroot%\system32\restore\rstrui.exe,

    Pentru a intra în Windows XP în Explorer și în fereastra My Computer, ca și în cele șapte, introducem exploratorul de comenzi.


    aici trebuie mai întâi să tastați exploratorul de comenzi și veți fi dus direct la desktop. Mulți oameni nu pot schimba aspectul implicit al tastaturii rusești în limba engleză în linia de comandă folosind combinația alt-shift, apoi încercați shift-alt invers.

    Deja aici accesați meniul Start, apoi Run.


    apoi selectați Startup - ștergeți totul din el, apoi faceți tot ce ați făcut în rădăcina unității (C:), ștergeți virusul din directorul de fișiere temporare: C:\USERS\nume utilizator\AppData\Local\Temp, editați registrul după cum este necesar ( totul este descris mai sus cu detalii).

    Restaurarea sistemului. Lucrurile vor fi puțin diferite pentru noi dacă nu reușiți să intrați în modul sigur și în modul sigur cu asistență pentru linia de comandă. Înseamnă asta că tu și cu mine nu vom putea folosi System Restore? Nu, acest lucru nu înseamnă că puteți derula înapoi folosind punctele de restaurare, chiar dacă sistemul dvs. de operare nu pornește în niciun mod. În Windows 7 trebuie să utilizați mediul de recuperare; în faza inițială a pornirii computerului, apăsați F-8 și selectați din meniu Depanarea computerului,

    În fereastra Opțiuni de recuperare, selectați din nou Restaurare sistem.

    Acum fiți atenți, dacă atunci când apăsați meniul F-8 Depanare nu este disponibil, înseamnă că fișierele dvs. care conțin mediul de recuperare Windows 7 sunt deteriorate.

    • Este posibil să faci fără un Live CD? În principiu, da, citește articolul până la capăt.

    Acum să ne gândim la ce vom face dacă nu putem porni System Restore prin niciun mijloc sau a fost complet dezactivat. Mai întâi, să vedem cum să eliminați bannerul folosind codul de deblocare, care este oferit cu amabilitate de companiile care dezvoltă software antivirus - Dr.Web, precum și ESET NOD32 și Kaspersky Lab, în ​​acest caz veți avea nevoie de ajutorul prieteni. Este necesar ca unul dintre ei să meargă la serviciul de deblocare, de exemplu Dr.Web

    https://www.drweb.com/xperf/unlocker/

    http://www.esetnod32.ru/.support/winlock/

    precum și Kaspersky Lab

    http://sms.kaspersky.ru/ și a introdus în acest câmp numărul de telefon la care trebuie să transferați bani pentru a debloca computerul și a făcut clic pe butonul - Căutați coduri. Dacă găsiți codul de deblocare, introduceți-l în fereastra bannerului și faceți clic pe Activare sau orice scrie, bannerul ar trebui să dispară.

    O altă modalitate simplă de a elimina bannerul este să folosești un disc de recuperare sau așa cum se mai numesc și salvari de la și. Întregul proces de la descărcare, arderea imaginii pe un CD gol și verificarea computerului pentru viruși este descris în detaliu în articolele noastre, puteți urma linkurile, nu ne vom opri asupra acestui lucru. Apropo, discurile de salvare din datele de la companiile de antivirus nu sunt deloc rele, pot fi folosite ca LiveCD-urile - pentru a efectua diverse operațiuni cu fișiere, de exemplu, copiați date personale dintr-un sistem infectat sau rulați utilitarul de vindecare de la Dr.Web - Dr.Web CureIt - de pe o unitate flash. Și în discul de salvare ESET NOD32 există un lucru minunat care m-a ajutat de mai multe ori - Userinit_fix, care corectează setări importante de registry pe un computer infectat cu banner - Userinit, ramuri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon .

    Cum să remediați toate acestea manual, citiți mai departe.
    Ei bine, prietenii mei, dacă mai citește cineva articolul, atunci mă bucur mult pentru voi, acum începe distracția, dacă reușiți să învățați și, cu atât mai mult, aplicați aceasta informatieîn practică, mulți oameni obișnuiți pe care îi eliberați de bannerul ransomware vă vor considera un adevărat hacker.

    Să nu ne înșelăm, personal, tot ceea ce este descris mai sus m-a ajutat în exact jumătate din cazurile în care computerul meu a fost blocat de un virus de blocare - Trojan.Winlock. Cealaltă jumătate necesită o analiză mai atentă a problemei, ceea ce vom face.
    De fapt, prin blocarea sistemului de operare, este tot Windows 7 sau Windows XP, virusul își face modificări în registry, precum și în folderele Temp care conțin fișiere temporare și în folderul C:\Windows->system32. Trebuie să corectăm aceste modificări. Nu uitați de Start->Toate Programele->Doarul de pornire. Acum despre toate acestea în detaliu.

    • Luați-vă timp, prieteni, mai întâi vă voi descrie unde se află exact ceea ce trebuie reparat, apoi vă voi arăta cum și cu ce instrumente.

    În Windows 7 și Windows XP, bannerul ransomware afectează aceiași parametri UserInit și Shell din registrul din ramură

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
    În mod ideal ar trebui să fie așa:
    Userinit - C:\Windows\system32\userinit.exe,
    Shell - explorer.exe

    Verificați totul prin scrisoare, uneori în loc de userinit întâlniți, de exemplu, usernit sau userlnlt.
    De asemenea, trebuie să verificați parametrul AppInit_DLLs din cheia de registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, dacă găsiți ceva acolo, de exemplu C:\WINDOWS\SISTEM32\uvf.dll, toate acestea trebuie șterse.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, nu ar trebui să fie nimic suspect în privința lor.

    Și, de asemenea, asigurați-vă că:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (trebuie să fie gol) și, în general, nu ar trebui să fie nimic de prisos nici aici. ParseAutoexec trebuie să fie egal cu 1 .

    De asemenea, trebuie să ștergeți TOTUL din folderele temporare (există și un articol pe acest subiect), dar în Windows 7 și Windows XP sunt localizate ușor diferit:

    Windows 7:
    C:\Utilizatori\Nume utilizator\AppData\Local\Temp. Virușilor le place în special să se stabilească aici.
    C:\Windows\Temp
    C:\Windows\
    Windows XP:
    Din:\Documente și setări\Profil utilizator\Setări locale\Temp
    Din:\Documents and Settings\User Profile\Local Settings\Temporary Internet Files.
    C:\Windows\Temp
    C:\Windows\Prefetch
    Nu va fi de prisos să te uiți la folderul C:\Windows->system32 în ambele sisteme, toate fișierele se termină în .exe și dll cu data în ziua în care computerul tău a fost infectat de banner. Aceste fișiere trebuie șterse.

    Acum urmăriți cum vor face toate acestea un începător și apoi un utilizator experimentat. Să începem cu Windows 7 și apoi să trecem la XP.

    Cum să eliminați un banner în Windows 7 dacă Restaurarea sistemului a fost dezactivată?

    Să ne imaginăm cel mai rău scenariu. Conectarea la Windows 7 este blocată de un banner ransomware. Restaurare sistem este dezactivată. Cel mai simplu mod este să intri în sistemul Windows 7 folosind un disc simplu de recuperare (o poți face direct în sistemul de operare Windows 7 - descris în detaliu în articolul nostru), poți folosi și un simplu disc de instalare Windows 7 sau orice simplu LiveCD. Porniți în mediul de recuperare, selectați Restaurare sistem, apoi selectați Linie de comanda

    și tastați –notepad în el, intrați în Notepad, apoi File și Deschideți.

    Intrăm în exploratorul real, facem clic pe Computerul meu.

    Mergem în folderul C:\Windows\System32\Config, aici indicăm Tipul de fișier - Toate fișierele și vedem fișierele noastre de registry, vedem și folderul RegBack,

    în el, la fiecare 10 zile, Task Scheduler face o copie de rezervă a cheilor de registry - chiar dacă ați dezactivat Restaurarea sistemului. Ceea ce puteți face aici este să ștergeți fișierul SOFTWARE din folderul C:\Windows\System32\Config, care este responsabil pentru stupul de registry HKEY_LOCAL_MACHINE\SOFTWARE; cel mai adesea virusul își face modificările aici.

    Și în locul lui, copiați și lipiți un fișier cu același nume SOFTWARE din copie de rezervă foldere RegBack.

    În cele mai multe cazuri, acest lucru va fi suficient, dar dacă doriți, puteți înlocui toate cele cinci stupi de registry din folderul RegBack din folderul Config: SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM.

    Apoi, facem totul așa cum este scris mai sus - ștergeți fișierele din folderele temporare Temp, căutați prin folderul C:\Windows->system32 fișiere cu extensia .exe și dll cu data în ziua infecției și, bineînțeles, uitați-vă la conținutul folderului Startup.

    În Windows 7 se află:

    C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

    Windows XP:

    C:\Documente și setări\Toți utilizatorii\Meniu principal\Programe\Startup.

    • Cum să faci același lucru utilizatori experimentați, crezi că folosesc un simplu LiveCD sau un disc de recuperare Windows 7? Departe de prieteni, ei folosesc un instrument foarte profesional - Microsoft Diagnostic and Recovery Toolset (DaRT) Versiunea: 6.5 pentru Windows 7- acesta este un ansamblu profesional de utilitati situate pe disc si necesare administratorii de sistem pentru recuperare rapidă parametri importanti sistem de operare. Dacă sunteți interesat de acest instrument, citiți articolul nostru.

    Apropo, se poate conecta perfect la sistemul dvs. de operare Windows 7. Pornind computerul de pe disc Recuperare Microsoft(DaRT), puteți edita registrul, reatribui parole, șterge și copia fișiere, folosi recuperarea sistemului și multe altele. Fără îndoială, nu fiecare LiveCD are astfel de funcții.
    Ne pornim computerul de pe acesta, așa cum se mai numește și discul de recuperare Microsoft (DaRT), inițializam conexiunea la rețea în fundal, dacă nu avem nevoie de internet, refuzăm.

    Atribuiți litere de unitate în același mod ca pe sistemul țintă - spunem Da, este mai convenabil să lucrați în acest fel.

    Aspect rusesc și nu numai. În partea de jos vedem de ce avem nevoie - Microsoft Diagnostic and Recovery Toolset. în ramura de registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs - ar trebui să fie goală.

    De asemenea, tu și cu mine putem accesa pornirea folosind instrumentul de gestionare a computerului.

    Instrument Explorer - fără comentarii, aici putem efectua orice operațiuni cu fișierele noastre: copiați, ștergeți, rulați de pe o unitate flash scaner antivirusși așa mai departe.

    În cazul nostru, trebuie să ștergem toate folderele temporare Temp; știți deja câte sunt și unde sunt în Windows 7 de la mijlocul articolului.
    Dar atentie! Deoarece Microsoft Diagnostic and Recovery Toolset este complet conectat la sistemul dvs. de operare, nu veți putea șterge, de exemplu, fișierele de registry -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, deoarece acestea sunt în curs de desfășurare și vă rugăm să faceți modificări. .

    Cum să eliminați un banner în Windows XP

    Din nou, este o chestiune de instrument, sugerez să utilizați ERD Commander 5.0 (link către articolul de mai sus), așa cum am spus la începutul articolului, este special conceput pentru a rezolva probleme similare în Windows XP. ERD Commander 5.0 vă va permite să vă conectați direct la sistemul de operare și să faceți tot ce am făcut folosind Microsoft Set de instrumente de diagnosticare și recuperare în Windows 7.
    Pornim computerul de pe discul de recuperare. Selectăm prima opțiune - conectarea la un sistem de operare infectat.

    Selectați registrul.

    Ne uităm la parametrii UserInit și Shell din ramura HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. După cum am spus mai sus, ar trebui să aibă acest sens.
    Userinit - C:\Windows\system32\userinit.exe,
    Shell - explorer.exe

    Uită-te și la HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs - ar trebui să fie gol.

    Apoi, accesați Explorer și ștergeți totul din folderele temporare Temp.
    Cum altfel puteți elimina un banner în Windows XP folosind ERD Commander (apropo, această metodă este aplicabilă oricărui Live CD). Puteți încerca să faceți acest lucru chiar și fără a vă conecta la sistemul de operare. Descărcați ERD Commander și lucrați fără a vă conecta la Windows XP,

    în acest mod, tu și cu mine vom putea șterge și înlocui fișierele de registry, deoarece acestea nu vor fi implicate în lucru. Selectați Explorer.

    Fișierele de registry din sistemul de operare Windows XP se află în folderul C:\Windows\System32\Config. Și copiile de rezervă ale fișierelor de registry create în timpul instalării Windows XP se află în folderul de reparații, situat la C:\Windows\repair.

    Facem același lucru, copiați mai întâi fișierul SOFTWARE,

    și apoi puteți face restul fișierelor de registry - SAM, SECURITY, DEFAULT, SYSTEM pe rând din folderul de reparații și le puteți înlocui cu aceleași în folderul C:\Windows\System32\Config. Înlocuiți fișierul? Suntem de acord - Da.

    Vreau să spun că în majoritatea cazurilor este suficient să înlocuiți un SOFTWARE. Când înlocuiți fișierele de registry din folderul de reparații, există șanse mari de a porni sistemul, dar majoritatea modificărilor pe care le-ați făcut după Instalări Windows XP va fi pierdut. Luați în considerare dacă această metodă este potrivită pentru dvs. Nu uitați să eliminați tot ce nu este familiar de la pornire. În principiu, nu ar trebui să ștergeți clientul MSN Messenger dacă aveți nevoie de el.

    Și ultima modalitate pentru astăzi de a scăpa de bannerul ransomware folosind discul ERD Commander sau orice Live CD

    Dacă ați activat Restaurarea sistemului în Windows XP, dar nu o puteți aplica, puteți încerca acest lucru. Accesați folderul C:\Windows\System32\Config care conține fișierele de registry.

    Folosiți glisorul pentru a deschide numele complet al fișierului și ștergeți SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM. Apropo, înainte de a le șterge, le poți copia undeva pentru orice eventualitate, nu se știe niciodată. Poate vrei să-l redai.

    Apoi mergem la folder Informații despre volumul sistemului\_restore(E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2)\RP\ instantaneu, aici copiem fișiere care sunt copii de rezervă ale sucursalei noastre de registry HKEY_LOCAL_MACHINE\ poveste, o puteți citi.

    Bună ziua, dragi cititori ai site-ului blog, de mult am vrut să scriu un articol despre cum să eliminați virusul ransomware (Winlocker) care blochează autentificarea la computer.
    Cel mai adesea, această problemă este întâlnită de utilizatorii neexperimentați care, din pură întâmplare sau din neglijența lor, au devenit victimele escrocilor. Din cauza lipsei de experiență, mulți oameni trimit SMS-uri pentru a debloca un banner cu speranța de a primi un cod și cheltuiesc mulți bani înainte de a deveni clar că acesta este doar un virus ransomware care v-a infectat computerul, care poate fi luptat fără a investi bani. .

    Voi spune imediat că sub nicio formă nu plătiți bani escrocilor, tot ce este scris pe un astfel de banner SMS este o pură înșelătorie. Chiar dacă decideți să urmați calea celei mai puține rezistențe și veți plăti, nu este un fapt că acest lucru vă va rezolva problema.

    De asemenea, nu recurgeți la ultima soluție - nu reinstalați sistemul. Orice program rău intenționat poate fi eliminat într-un mod simplu și fără consecințe. Reinstalarea sistemului poate presupune îndepărtarea completă toate informatie necesara. Îl puteți folosi doar dacă nu există nimic valoros pe computer.

    Impactul ransomware-ului asupra sistemului dvs

    Winlocker suspendă complet sistemul de operare și blochează accesul la programele de lansare și desktop. Virusul ransomware blochează accesul la managerul de activități și pornește imediat după ce Windows începe să se încarce. Uneori se întâmplă ca un program rău intenționat să împiedice pornirea sistemului în modul sigur; în această situație, rezolvarea problemei va fi mult mai dificilă.

    Când un program de virus intră pe un dispozitiv, acesta se înregistrează de mai multe ori în locuri diferite, ceea ce face dificil de identificat, cu atât mai puțin de îndepărtat.

    Vă voi spune câteva cuvinte despre de ce apare această situație. Cel mai adesea, apariția acestui tip de virus poate fi observată pe acele computere unde nu există protectie antivirus. Pentru a vă proteja dispozitivul de malware Vă sfătuiesc să citiți articolul . De asemenea, trebuie să înțelegeți că pe site-uri web trebuie să fiți extrem de atenți și să nu faceți clic pe linkuri necunoscute. Există încă o probabilitate foarte mare de a contracta o astfel de infecție după descărcarea și instalarea unui program dintr-o resursă neverificată. Când lucrați pe Internet, nu uitați să vă protejați computerul; cea mai mică vigilență vă va ajuta să evitați alte probleme.

    Asigurați-vă că efectuați întreținerea computerului, actualizați antivirusul și scanați periodic dispozitivul pentru malware (puteți configura scanarea automată într-o anumită zi și oră). Dacă urmați reguli simple, puteți evita infecția.

    Deci, dacă tot decideți să rezolvați această problemă pe cont propriu, atunci să ne uităm la mai multe opțiuni despre cum să deblocați virusul ransomware. Să începem de la foarte calea usoara iar treptat ne vom îndrepta către altele mai complexe. Dacă vreuna dintre opțiuni vă ajută, atunci rămâneți cu ea.

    Rularea comenzilor din linia de comandă

    Am aflat recent despre existența celei mai simple metode, dar nu este capabilă să rezolve problema pe toate mașinile.

    Primul lucru pe care trebuie să-l facem este. Repornim computerul și apăsăm periodic tasta F8 în timpul încărcării. Dacă ați făcut totul corect, atunci ar trebui să vedeți un meniu cu opțiuni suplimentare de pornire Windows. ÎN acest meniu selectați opțiunea în care să porniți sistemul Modul sigur cu suport pentru linia de comandăși apăsați Enter. După încărcare, va apărea doar linia de comandă fără desktop și comenzile rapide și pictogramele prezente pe acesta. Introduceți următoarele comenzi una câte una

    • echipă cleanmgr– Instrumentul Cleanmgr.exe este conceput pentru a elimina fișierele inutile și învechite;
    • echipă rstrui– comandă pentru a porni recuperarea sistemului ( această comandă va funcționa numai dacă nu ați dezactivat-o în setările de sistem).

    După introducerea secvenţială a comenzilor, repornim computerul şi verificăm prezenţa bannerului. Dacă lipsește, atunci această metodă ne-a ajutat; dacă nu, atunci treceți la următoarea.

    Eliminarea blocantului de la pornire

    Ca și în prima metodă, lansăm dispozitivul și apăsăm tasta F8 pentru a încărca meniul de opțiuni suplimentare. Apoi selectați elementul Modul sigurși apăsați Enter. Lansăm funcția Run prin meniul Start sau apăsând simultan tastele Ctrl+R și în câmp a executa introduceți comanda msconfig. Aceasta va deschide fereastra cu opțiuni de pornire Windows. Deschideți fila Pornire și încercați să găsiți programe suspecte.

    Cel mai adesea, numele unor astfel de programe constă dintr-un set aleatoriu de litere. Dacă ați găsit un astfel de program, debifați caseta de lângă el. De asemenea, trebuie să vă uitați la ce folder este stocat și să-l ștergeți. Înainte de a efectua aceste acțiuni, vă sfătuiesc să citiți materialele din articol.

    După finalizarea operațiunilor, reporniți computerul și verificați dacă problema este rezolvată. Dacă virusul SMS încă refuză accesul, treceți la următoarea metodă.

    Curățarea registrului de urme ale bannerului

    Dacă ați ajuns în acest punct și încercările anterioare au fost în zadar, atunci aceasta metoda ar trebui să vă ajute să deblocați virusul ransomware cu 98%.

    Aș dori să menționez că toate acțiunile enumerate mai jos trebuie efectuate extrem de atent și strict conform instrucțiunilor. Prin editarea cheilor de registry, acțiunile incorecte pot provoca daune ireparabile sistemului și tot ce rămâne este să reinstalați Windows.

    Deci, să pornim sistemul în modul sigur; cum se face acest lucru este descris mai sus. Așteptăm descărcarea și lansăm opțiunea „Run” în câmpul ferestrei care se deschide, introduceți comanda regedit. După ce ați introdus comanda, se va deschide o fereastră Editor de registru în fața dvs.

    Apoi mergeți la următoarea cale HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

    În coloana din dreapta veți putea vedea doi parametri Shell și Userinit. Vizavi de acești parametri există o coloană de valoare. Nu ar trebui să existe nimic de prisos în aceste coloane (opus pentru parametrul Shell ar trebui să fie valoarea explorer.exe, vizavi de Userinit valoarea userinit.exe). Dacă există valori suplimentare acolo, atunci acesta este rezultatul unui virus și puteți șterge totul în siguranță.

    De asemenea, pentru a vă ușura conștiința, vă sfătuiesc să mergeți la următoarea adresă în setările registry ….. \ Microsoft\ Windows\ Versiune curentă\ Alerga
    și verificați dacă există programe inutile sau nefamiliare în câmpul din dreapta al ferestrei; dacă sunt găsite, ștergeți-le.

    Reporniți computerul și bucurați-vă că virusul a dispărut.

    Sunt aproape sută la sută sigur că dacă totul este făcut corect, bannerul care blochează lansarea Windows va dispărea. Dar pentru orice eventualitate, vă voi oferi o altă modalitate de a elimina ransomware-ul. Desigur, nu este la fel de grav ca celelalte, dar uneori nu este mai puțin eficient.

    Conversia datei în Bios

    Când sistemul pornește, intrați în Bios și schimbați data și ora la o săptămână înainte. Se întâmplă ca bannerul să dispară, dar asta se întâmplă foarte rar.

    Asigurați-vă că scanați computerul pentru malware după ce ați reușit să scăpați de blocantul Windows. Trebuie efectuată o scanare completă, nu una rapidă. De asemenea, trebuie să vă gândiți la protecția de înaltă calitate pentru dispozitivul dvs. Dacă nu aveți bani pentru un antivirus plătit, cum ar fi, puteți descărca antivirus gratuit intitulat .

    Iar pasul final va fi să vă verificați computerul pentru malware. Există mai multe pentru asta programe gratuite, despre care voi vorbi în următoarele articole ale blogului meu

    Sper cu adevărat că v-am ajutat să vă dați seama cum să eliminați bannerul ransomware, dar dacă aveți întrebări, nu ezitați să le întrebați în comentarii și voi încerca cu plăcere să vă ajut.

    Cu siguranță fiecare al patrulea utilizator calculator personal Am întâlnit diverse escrocherii pe internet. Un tip de înșelăciune este un banner care blochează Operare Windowsși vă solicită să trimiteți un SMS către număr plătit sau necesită criptomonede. În esență, este doar un virus.

    Pentru a lupta împotriva ransomware-ului banner, trebuie să înțelegeți ce este acesta și cum pătrunde în computerul dvs. De obicei, un banner arată astfel:

    Dar pot exista tot felul de alte variații, dar esența este aceeași - escrocii vor să facă bani din tine.

    Modul în care un virus intră într-un computer

    Prima opțiune pentru „infecție” este aplicațiile, utilitățile și jocurile piratate. Desigur, utilizatorii de internet sunt obișnuiți să obțină cea mai mare parte a ceea ce își doresc online „gratuit”, dar atunci când descarcă software piratat, jocuri, diverse activatoare și alte lucruri de pe site-uri suspecte, riscăm să fim infectați cu viruși. În această situație, de obicei ajută.

    Windows poate fi blocat din cauza unui fișier descărcat cu extensia " .exe" Acest lucru nu înseamnă că ar trebui să refuzați să descărcați fișiere cu această extensie. Amintește-ți doar că " .exe„se poate aplica numai la jocuri și programe. Dacă descărcați un videoclip, o melodie, un document sau o imagine, iar numele acestuia are „.exe” la sfârșit, atunci șansa de apariție a unui banner ransomware crește brusc la 99,999%!

    Există o altă mișcare dificilă cu presupusa nevoie de actualizare Flash Player a sau browser. Se poate întâmpla să lucrați pe Internet, să vă mutați de la o pagină la alta și, într-o zi, veți găsi o inscripție care spune „playerul dvs. Flash este învechit, vă rugăm să actualizați”. Dacă dați clic pe acest banner și nu vă duce la site-ul oficial adobe.com, atunci este 100% un virus. Prin urmare, verificați înainte de a face clic pe butonul „Actualizare”. Cea mai bună opțiune ar fi să ignorați cu totul astfel de mesaje.

    Și în sfârșit, învechit Actualizări Windows slăbesc securitatea sistemului. Pentru a vă proteja computerul, încercați să instalați actualizările la timp. Această caracteristică poate fi configurată în „Panouri de control -> Windows Update” la modul automat pentru a nu fi distras.

    Cum să deblochezi Windows 7/8/10

    Una dintre opțiunile simple de a elimina bannerul ransomware este. Ajută 100%, dar are sens să reinstalați Windows atunci când nu aveți date importante pe unitatea „C” pe care nu ați avut timp să le salvați. Când reinstalați sistemul, toate fișierele vor fi șterse din disc de sistem. Prin urmare, dacă nu doriți să reinstalați softwareși jocuri, apoi puteți folosi alte metode.

    După tratamentul și lansarea cu succes a sistemului fără bannerul ransomware, trebuie să efectuați acțiuni suplimentare, altfel virusul poate reapărea sau pur și simplu vor apărea unele probleme în funcționarea sistemului. Toate acestea sunt la finalul articolului. Toate informațiile au fost verificate de mine personal! Deci, să începem!

    Kaspersky Rescue Disk + WindowsUnlocker ne va ajuta!

    Vom folosi un sistem de operare special dezvoltat. Întreaga dificultate este că trebuie să descărcați imaginea pe computerul de lucru și sau (defilați printre articole, este acolo).

    Când acest lucru este gata, aveți nevoie. În momentul pornirii, va apărea un mesaj mic, cum ar fi „Apăsați orice tastă pentru a porni de pe CD sau DVD”. Aici trebuie să apăsați orice buton de pe tastatură, altfel Windows-ul infectat va porni.

    La încărcare, apăsați orice buton, apoi selectați limba - „rusă”, acceptați acord de licențiere folosind butonul „1” și folosiți modul de lansare – „Grafic”. După pornirea sistemului de operare Kaspersky, nu acordăm atenție scanerului lansat automat, ci mergem la meniul „Start” și lansăm „Terminal”


    Se va deschide o fereastră neagră, unde scriem comanda:

    deblocator de geamuri

    Se va deschide un mic meniu:


    Selectați „Deblocați Windows” cu butonul „1”. Programul în sine va verifica și corecta totul. Acum puteți închide fereastra și puteți verifica întregul computer cu scanerul care rulează deja. În fereastră, bifați discul cu sistemul de operare Windows și faceți clic pe „Run object scan”


    Așteptăm ca verificarea să se termine (poate dura mult timp) și, în sfârșit, repornim.

    Dacă aveți un laptop fără mouse și touchpad-ul nu funcționează, vă sugerez să utilizați modul text al discului Kaspersky. În acest caz, după pornirea sistemului de operare, trebuie mai întâi să închideți meniul care se deschide cu butonul „F10”, apoi să introduceți aceeași comandă în linia de comandă: windowsunlocker

    Deblocare în modul sigur, fără imagini speciale

    Astăzi, viruși precum Winlocker au devenit mai inteligenți și se blochează se încarcă Windowsîn modul sigur, deci cel mai probabil nu veți reuși, dar dacă nu există nicio imagine, atunci încercați. Virușii sunt diferiți și pot funcționa pentru toată lumea căi diferite, dar principiul este același.

    Reporniți computerul. În timpul pornirii, trebuie să apăsați tasta F8 până când apare meniul de opțiuni suplimentare Pornire Windows. Trebuie să folosim săgețile în jos pentru a selecta din listă un element numit „Mod sigur cu suport pentru linia de comandă”.

    Aici trebuie să mergem și să selectăm linia dorită:

    În continuare, dacă totul merge bine, computerul se va porni și vom vedea desktopul. Grozav! Dar asta nu înseamnă că totul funcționează acum. Dacă nu eliminați virusul și doar reporniți în modul normal, bannerul va apărea din nou!

    Suntem tratați folosind Windows

    Trebuie să restabiliți sistemul când bannerul de blocare nu exista încă. Citiți cu atenție articolul și faceți tot ce este scris acolo. Există un videoclip sub articol.

    Dacă nu ajută, apăsați butoanele „Win ​​+R” și scrieți comanda în fereastră pentru a deschide editorul de registry:

    regedit

    Dacă, în loc de desktop, este lansată o linie de comandă neagră, atunci pur și simplu introduceți comanda „regedit” și apăsați „Enter”. Trebuie să verificăm unele secțiuni ale registrului pentru prezența programelor viruși sau, pentru a fi mai precis - cod rău intenționat. Pentru a începe această operațiune, mergeți pe această cale:

    HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

    Acum verificăm următoarele valori în ordine:

    • Shell – „explorer.exe” trebuie scris aici, nu ar trebui să existe alte opțiuni
    • Userinit – aici textul ar trebui să fie „C:\Windows\system32\userinit.exe”,

    Dacă sistemul de operare este instalat pe o altă unitate decât C:, atunci litera de acolo va fi diferită. Pentru a modifica valorile incorecte, faceți clic dreapta pe linia pe care doriți să o editați și selectați „editați”:

    Apoi verificăm:

    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

    Nu ar trebui să existe chei Shell și Userinit aici; dacă există, ștergeți-le.

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

    Și, de asemenea, asigurați-vă că:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

    Dacă nu sunteți sigur dacă trebuie să ștergeți cheia, puteți adăuga mai întâi un „1” la parametru. Calea va fi incorectă, iar programul pur și simplu nu va porni. Apoi îl poți readuce așa cum a fost.

    Acum trebuie să rulați utilitarul de curățare a sistemului încorporat, o facem în același mod în care am lansat editorul de registry „regedit”, dar scriem:

    cleanmgr

    Selectați unitatea cu sistemul de operare (C: implicit) și după scanare, bifați toate casetele, cu excepția „Actualizați fișierele de rezervă ale pachetului”

    Și faceți clic pe „OK”. Cu această acțiune, este posibil să fi dezactivat rularea automată a virusului și apoi trebuie să curățăm urmele prezenței acestuia în sistem și să citim despre asta la sfârșitul articolului.

    utilitarul AVZ

    Ideea este că în modul sigur vom lansa binecunoscutul utilitar antivirus AVZ. Pe lângă scanarea pentru viruși, programul are doar o mulțime de funcții pentru remedierea problemelor de sistem. Această metodă repetă pașii pentru a închide găurile în sistem după ce virusul a funcționat, inclusiv. Pentru a vă familiariza cu el, treceți la următorul punct.

    Remedierea problemelor după eliminarea ransomware-ului

    Felicitări! Dacă citiți acest lucru, înseamnă că sistemul a pornit fără banner. Acum trebuie să verifice întregul sistem. Dacă ați folosit discul de salvare Kaspersky și ați verificat acolo, atunci puteți sări peste acest punct.

    Mai poate exista și o problemă asociată cu activitățile răufăcătorului - virusul vă poate cripta fișierele. Și chiar și după ștergerea completă, pur și simplu nu veți putea să vă folosiți fișierele. Pentru a le decripta trebuie să utilizați programe de pe site-ul Kaspersky: XoristDecryptor și RectorDecryptor. Există și instrucțiuni de utilizare acolo.

    Dar asta nu este tot, pentru că... Winlocker a jucat cel mai probabil un truc murdar asupra sistemului și vor fi observate diverse erori și probleme. De exemplu, Editorul de registry și Managerul de activități nu vor porni. Pentru a trata sistemul vom folosi programul AVZ.

    Când descărcați folosind Google Chrome poate apărea o problemă deoarece Acest browser consideră programul rău intenționat și nu vă permite să-l descărcați! Această întrebare a fost deja ridicată pe forumul oficial Google, iar la momentul scrierii acestui articol totul deja este normal.

    Pentru a descărca în continuare arhiva cu programul, trebuie să mergeți la „Descărcări” și să faceți clic pe „Descărcare” fișier rău intenționat" 🙂 Da, înțeleg că pare puțin stupid, dar se pare că Chrome crede că programul poate provoca rău la utilizatorul mediu. Și asta este adevărat dacă îl bagi oriunde! Prin urmare, respectăm cu strictețe instrucțiunile!

    Despachetăm arhiva cu programul, o scriem pe un suport extern și o rulăm pe computerul infectat. Să mergem la meniu „Fișier -> Restaurare sistem”, bifați casetele ca în imagine și efectuați operațiunile:

    Acum urmam urmatoarea cale: „Fișier -> Expert de depanare”, apoi du-te la „Probleme de sistem -> Toate problemele”și faceți clic pe butonul „Start”. Programul va scana sistemul, iar apoi în fereastra care apare, bifați toate casetele, cu excepția „Dezactivați actualizările automate ale sistemului de operare” și a celor care încep cu expresia „Permiteți executarea automată de la...”.

    Faceți clic pe butonul „Remediați problemele observate”. După finalizarea cu succes, accesați: „Setări și ajustări ale browserului -> Toate problemele”, aici bifăm toate casetele și facem clic pe butonul „Remediați problemele marcate” în același mod.

    Facem același lucru cu „Confidențialitate”, dar aici nu bifați casetele care sunt responsabile pentru ștergerea marcajelor din browsere și orice altceva credeți că este necesar. Terminăm verificarea în secțiunile „System Cleaning” și „Adware/Toolbar/Browser Hijacker Removal”.

    În cele din urmă, închideți fereastra fără a părăsi AVZ. În program găsim „Instrumente -> Editor de extensii Explorer”și debifați acele elemente marcate cu negru. Acum să trecem la: „Service -> Extension Manager Internet Explorer» și ștergeți complet toate liniile din fereastra care apare.

    Am spus deja mai sus că această secțiune a articolului este și una dintre modalitățile de a vindeca Windows de ransomware banner. Deci, în acest caz, trebuie să descărcați programul pe computerul de lucru și apoi să îl scrieți pe o unitate flash sau pe disc. Efectuăm toate acțiunile în mod sigur. Dar există o altă opțiune pentru a lansa AVZ, chiar dacă modul sigur nu funcționează. Trebuie să începeți din același meniu când sistemul pornește, în modul „Depanați computerul”.

    Dacă îl aveți instalat, acesta va fi afișat chiar în partea de sus a meniului. Dacă nu este acolo, încercați să porniți Windows până când apare bannerul și să deconectați computerul. Apoi porniți-l - poate fi oferit un nou mod de lansare.

    Rulează de pe discul de instalare Windows

    O alta calea cea buna- aceasta este pentru a porni din orice instalare disc Windows 7-10 și selectați acolo nu „Instalare”, ci "Restaurarea sistemului". Când instrumentul de depanare rulează:

    • Trebuie să selectați „Linia de comandă” acolo
    • În fereastra neagră care apare, scrieți: „notepad”, adică. lansați un blocnotes obișnuit. Îl vom folosi ca mini dirijor
    • Accesați meniul „Fișier -> Deschidere”, selectați tipul de fișier „Toate fișierele”
    • Apoi, găsiți folderul cu programul AVZ, faceți clic dreapta pe fișierul care urmează să fie lansat „avz.exe” și lansați utilitarul folosind elementul de meniu „Deschidere” (nu elementul „Selectare”!).

    Dacă totul eșuează

    Se referă la cazurile în care, dintr-un motiv oarecare, nu puteți porni de pe o unitate flash cu o imagine Kaspersky înregistrată sau programul AVZ. Tot ce trebuie să faci este să-l scoți din computer HDDși conectați-l cu un al doilea disc la computerul dvs. de lucru. Apoi porniți de la UNINFECTED hard diskși scanați-vă discul cu un scaner Kaspersky.

    Nu trimite niciodată mesaje SMS pe care le cer escrocii. Indiferent de text, nu trimite mesaje! Încercați să evitați site-urile și fișierele suspecte și, în general, citiți. Urmați instrucțiunile, iar computerul dvs. va fi în siguranță. Și nu uitați de antivirus și actualizări regulate ale sistemului de operare!

    Iată un videoclip în care puteți vedea totul cu un exemplu. Lista de redare constă din trei lecții:

    PS: ce metoda te-a ajutat? Scrieți despre asta în comentariile de mai jos.

    Troienii Winlocker sunt un tip de malware care, prin blocarea accesului la desktop, stoarce bani de la utilizator - se presupune că dacă transferă suma necesară în contul atacatorului, acesta va primi un cod de deblocare.

    Dacă, odată ce porniți computerul, vedeți în loc de desktop:

    Sau altceva în același spirit - cu inscripții amenințătoare și uneori cu imagini obscene, nu te grăbi să-i acuzi pe cei dragi de toate păcatele.

    Ei, și poate chiar tu, ai devenit victime ale ransomware-ului.

    Cum ajung blocatorii de ransomware pe computerul tău?

    Cel mai adesea, blocanții ajung pe computer în următoarele moduri:

    • prin programe piratate, precum și instrumente pentru hacking software plătit (crackuri, keygens etc.);
    • descărcat prin link-uri din mesaje de pe rețelele de socializare, trimise presupus de cunoscuți, dar de fapt de atacatori de pe pagini piratate;
    • descărcat din resurse web de phishing care imită site-uri cunoscute, dar de fapt sunt create special pentru răspândirea virușilor;
    • veniți prin e-mail sub formă de atașamente care însoțesc scrisori cu conținut intrigant: „ai fost dat în judecată...”, „ai fost fotografiat la locul crimei”, „ai câștigat un milion” și altele asemenea.

    Atenţie! Bannerele pornografice nu sunt întotdeauna descărcate de pe site-uri porno. O pot face din cele mai obișnuite.

    Un alt tip de ransomware este răspândit în același mod - blocatorii de browser. De exemplu, așa:

    sau cam asa:

    Ei cer bani pentru accesul la navigarea pe web printr-un browser.

    Cum să eliminați bannerul „Windows blocat” și altele similare?

    Când desktopul este blocat și un banner de viruși împiedică rularea oricăror programe pe computer, puteți face următoarele:

    • intrați în modul sigur cu suport pentru linia de comandă, lansați editorul de registry și ștergeți cheile de rulare automată a bannerului.
    • porniți de pe un disc Live CD („live”), de exemplu, ERD commander, și eliminați bannerul de pe computer atât prin registry (chei de autorun), cât și prin Explorer (fișiere).
    • scanează sistemul de pe un disc de pornire cu un antivirus, de exemplu Dr.Web LiveDisk sau Kaspersky Rescue Disk 10.

    Metoda 1. Eliminarea Winlocker din modul sigur cu suport pentru consolă.

    Deci, cum să eliminați un banner de pe computer prin linia de comandă?

    Pe mașinile cu Windows XP și 7, înainte de a porni sistemul, trebuie să apăsați rapid tasta F8 și să selectați elementul marcat din meniu (în Windows 8\8.1 nu există acest meniu, așa că va trebui să porniți din disc de instalareși rulați linia de comandă de acolo).

    În loc de un desktop, o consolă se va deschide în fața ta. Pentru a lansa editorul de registry, introduceți comanda în el regeditși apăsați Enter.

    Apoi, deschideți editorul de registry, găsiți intrări de viruși în el și remediați-l.

    Cel mai adesea, bannerele ransomware sunt înregistrate în următoarele secțiuni:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- aici se schimbă valorile parametrilor Shell, Userinit și Uihost (ultimul parametru este disponibil doar în Windows XP). Trebuie să le remediați la normal:

    • Shell = Explorer.exe
    • Userinit = C:\WINDOWS\system32\userinit.exe, (C: este litera partiția sistemului. Dacă Windows este pe unitatea D, calea către Userinit va începe cu D:)
    • Uihost = LogonUI.exe

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- vezi parametrul AppInit_DLLs. În mod normal, poate fi absent sau poate avea o valoare goală.

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- aici ransomware-ul creează un nou parametru cu o valoare sub forma căii către fișierul de blocare. Numele parametrului poate fi un șir de litere, de exemplu, dkfjghk. Trebuie îndepărtat complet.

    Același lucru este valabil și pentru următoarele secțiuni:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

    Pentru a corecta cheile de registry, faceți clic dreapta pe parametru, selectați „Modificare”, introduceți o nouă valoare și faceți clic pe OK.

    După aceea, reporniți computerul în modul normal și executați o scanare antivirus. Acesta va elimina toate fișierele ransomware de pe hard disk.

    Metoda 2. Îndepărtarea Winlocker folosind ERD Commander.

    ERD Commander conține un set mare de instrumente pentru restaurarea Windows, inclusiv pe cele deteriorate prin blocarea troienilor.

    Folosind editorul de registry încorporat ERDregedit, puteți efectua aceleași operațiuni ca cele descrise mai sus.

    Comandantul ERD va fi indispensabil dacă Windows este blocat în toate modurile. Copii ale acestuia sunt distribuite ilegal, dar sunt ușor de găsit pe Internet.

    Truse de comandant ERD pentru toată lumea versiuni Windows numite discuri de pornire MSDaRT (Microsoft Diagnostic & Recovery Toolset), acestea vin în format ISO, care este convenabil pentru inscripționarea pe DVD sau transferul pe o unitate flash.

    După ce porniți de pe un astfel de disc, trebuie să selectați versiunea dvs. a sistemului și să mergeți la meniu și să faceți clic pe Editorul Registrului.

    În Windows XP, procedura este ușor diferită - aici trebuie să deschideți meniul Start, selectați Instrumente administrative și Editor de registru.

    După editarea registrului, porniți din nou Windows - cel mai probabil, nu veți vedea bannerul „Computer este blocat”.

    Metoda 3. Eliminarea blocantului folosind un „disc de salvare” antivirus.

    Aceasta este cea mai ușoară, dar și cea mai lungă metodă de deblocare.

    Este suficient să inscripționați imaginea Dr.Web LiveDisk sau Kaspersky Rescue Disk pe DVD, să porniți de pe acesta, să începeți scanarea și să așteptați să se termine. Virusul va fi ucis.

    Eliminarea bannerelor de pe computer folosind ambele discuri Dr.Web și Kaspersky este la fel de eficientă.

    Cum să eliminați ransomware-ul banner

    Cum să eliminați singur un banner de pe computer?