Как да се отървете от банера за рансъмуер. Как да деблокирам Windows от ransomware вирус

Как да се отървете от банер

С огромно чувство на благодарност към нашия читател за тази връзка към сайт за вируси, където компютърът ми би могъл да бъде заразен с банер за рансъмуер, изключих моята антивирусна програма и известна защита, която ще бъде обсъдена по-долу, и последвах тази връзка. Отвори се сайт, в който успях да видя само очертанията на китара, буквално секунда по-късно вирусният код, вграден в главната страница на този сайт, който е javascript, беше задействан и работният ми плот беше блокиран от банер за рансъмуер, аз дори нямах време да щракна върху нещо (Разбира се, няма да ви дам връзка към сайт с вирус, администрацията на този сайт, по-късно написах писмо и вирусът беше премахнат от сайта, но като цяло всичко може да се случи в живота, нито един сайт не е 100% имунизиран от хакване).

Е, сега подробна история за как да се отървете от банер, ако вече сте го хванали. Предоставената информация е подходяща за операционни системи Windows Vista, .

Първото нещо, което ще направим, е да отидем на уебсайтовете на водещи антивирусни компании, които предоставят услуги за отключване на вашия компютър от банера за рансъмуер.

1. Dr.Web https://www.drweb.com/xperf/unlocker
2. NOD32 http://www.esetnod32.ru/.support/winlock
3. Kaspersky Lab http://sms.kaspersky.ru

За съжаление, не можах да намеря кода за отключване; очевидно вирусът е написан наскоро.
Второто нещо, което можете да опитате е да рестартирате компютъра и при зареждане да натиснете F-8, Хайде да отидем до Отстраняване на неизправности, това е, ако имате инсталиран Windows 7 в операционната система Windows XP, отидете направо в безопасен режим с поддръжка на командния ред (прочетете какво да правите там по-долу).

В момента живеем в компютърната ера. Във всеки дом и офис вече има компютър, дори не само един. Компютрите се използват за образование и забавление. И ако имате интернет, можете да платите комунални услуги и да направите банков превод. Наистина е много удобно и прави живота ни много по-лесен. И всичко щеше да е наред, ако се обадиха престъпления киберпрестъпност, развалят ни настроението и олекотяват портфейла ни :-).

Нека да разгледаме по-отблизо какво представлява и как можем да се борим с него.

Системите за електронни плащания Webmoney, Qiwi, Yandex пари и други - всички ги използвахме и оценихме техните възможности. Някои от тях са по-сигурни и имат връзка към определен компютър, двойна автентификация чрез SMS и мобилно приложение, инсталирано на вашия смартфон или таблет. Някои са по-малко сигурни и съхраняват запазени пароли директно в браузъра, откъдето, ако наистина искате, можете да ги копирате и да получите достъп до акаунта си. За да предотвратите това, трябва да защитите компютъра си с антивирусни програми.

Ето защо, Винаги трябва да имате инсталирана антивирусна програма на вашия компютър с най-новите актуализации!

За повечето манекени ще бъде достатъчно да инсталирате безплатната антивирусна програма Avast. Поне нещо, отколкото нищо.

Нека да разгледаме ситуацията, когато сте на компютър никаква антивирусна. Какво означава това? Дори използването на интернет за два до три часа с деинсталирана или деактивирана антивирусна програма ще ви осигури голяма вероятност да „вземете“ зловреден софтуер от интернет. С каква цел са написани тези програми? А целта е проста: един престъпник, когато носи наказателна отговорност за това, няма да разпространява вируси, ако няма значителни доходи от това... Също и вирусите. Напоследък се пишат с цел да ви вземат парите. скрито или явноначини.

троянци

Със скрит методНа вашия компютър е инсталирана злонамерена програма, така нареченият троянски кон. Той прониква през компютърна уязвимост, например, когато защитната стена е деактивирана или при достъп до определена група сайтове. Най-често това са сайтове с еротично съдържание. С ясен методза да вземете пари, вие сами превеждате пари за отключване на компютъра по един или друг начин в сметката на престъпниците. Освен това може да няма реално отключване, тъй като след прехвърлянето на парите престъпниците просто няма да се интересуват от вас.

Реших да проведа рискован експеримент). Актуализирах антивирусната си база данни и отидох на очевидно подозрителен сайт, за да ви покажа как изглежда. Веднага ни се предлага да изтеглим неизвестен файл с драйвери, дори без да посочваме модела на уеб камерата.

Името на сайта се вижда на скрийншота и не носи никакво семантично значение. Най-вероятно това е направено умишлено, за да се асоциира този сайт по име с възможно най-много заявки в търсачката, така че да не можете да забележите несъответствието между темите. Освен това на екрана виждаме голям брой хора, които са изтеглили и уж им благодарили.

Сайтове за измами

Много често при търсене виждаме имитация на форумни страници с неясно име и предложение за изтегляне на необходимия файл. Следва въпрос от „потребителя“: Те искат да изпратят SMS, за да изтеглят този файл. Те с радост му обясняват, че това е защита от ботове, всичко е проверено, не се притеснявайте

Разбира се, след като изпратите SMS, който се окаже платен, от сметката ви ще бъде изтеглена солидна сума под крехкия претекст, че предоставяте развлекателни или информационни услуги.

Също така, никога не инсталирайте различни видове ленти с инструменти на вашия компютър, въпреки всички предимства на тази инсталация, които специално наети опитни автори ще ви опишат колоритно:

По-добре е да се въздържаме от посещение на сайтове, ако видим това предупреждение:

Въпреки че е възможно - това е само презастраховане от програмистите на Yandex. Това важи и за различни разширения от непроверени източници. Под маската на това често се крият всякакви вируси.

Банери

Нека да разгледаме как се заразява компютър с инсталирана антивирусна програма, но не и с активирана най-нова база данни и защитна стена?

Най-често неопитен потребител изтегля злонамерен софтуер на своя компютър, без да го знае. Може да бъде маскиран като нещо, например като помощна програма или драйвер със саморазархивиращ се архив с разширение *.exe или дори, както се случи с моя шеф, като важно писмо, уж от арбитражен съд. Ето как изглежда един от възможните банери за ransomware, които могат да се появят на вашия работен плот:

Бизнесмените често имат много проблеми. Загубили ума си, те веднага изтеглят прикачения файл от имейла и го отварят. Освен това в този случай файлът се нарича „Писмо“. И дори иконата беше под формата на плик. За хора с малко образование в областта на компютъра това, за съжаление, е достатъчно. Именно нестандартното файлово разширение и неговата икона ще предупреждават нас, по-опитните потребители.

След това на работния плот се появи банер с името Watnik 91

Не е ясно кого са искали да заблудят по този начин, явно това е всичко, на което е способно въображението им.

Така че на този банер имаше отпечатан текст, че всичките ви файлове с разширение DOC, PDF, XLS, JPEG и евентуално някои други са криптирани. Успяхме да ги дешифрираме, но само след две седмици кореспонденция и изпращане на образци от криптирани файлове на специален сайт за оказване на помощ на помощниците.

Премахване на банер с помощта на AntiSMS

Срещал съм и преди банери за рансъмуер. За този случай имам диск за зареждане, наречен Anti SMS, специално създаден за борба с банерите за ransomware. Много лесно се работи с него. Достатъчно е да натиснете клавиша BIOS няколко пъти през първите 5 секунди след стартиране на компютъра. За различните версии на дънните платки това са различни клавиши, например Delete, F2, F11 и други, вижте подканите на екрана на монитора веднага след стартиране на компютъра.

След като съкратената версия на ОС (операционната система) се зареди в RAM паметта на компютъра, трябва да натиснете само един бутон-икона на екрана на монитора и да изчакате съобщение, че компютърът е почистен. Автоматичното стартиране на компютъра, в който се регистрира вирусът, ще бъде изчистено. След рестартиране на компютъра ще видим, че банерът за ransomware е изчезнал.

Зареждащ диск или флаш

Какво да направите, ако компютърът ви е заразен, на екрана има подобен банер, който блокира достъпа до интернет и работата на компютъра, а вие нямате такъв диск? Е, оказахте се неподготвени за такъв развой на събитията!?

След това можете да стартирате от Linux Live Cd диск, например Ubuntu или Runtu, с поддръжка по подразбиране за достъп до Интернет през Ethernet. Който е в темата ще разбере

След това изтеглете помощната програма Dr web CureItкъм флашка

Или влезте и изпълнете тези действия от друг компютър. Тази помощна програма ще ви позволи да почистите компютъра си от вируси, след като стартирате Windows в безопасен режим. За да направите това, трябва да запишете помощната програма на флаш устройство и след като заредите Windows в безопасен режим, стартирайте тази помощна програма от флаш устройството.

Тази помощна програма е напълно безплатна и се доставя с най-новите версии на базата данни.

Надявам се, че след като прочетете тази статия, вашият компютър ще бъде надеждно защитен. И ако банер за рансъмуер се появи на вашия работен плот, можете бързо и независимо да го премахнете.

След рестартиране на компютъра мониторът показва искане за изпращане на платен SMS или за внасяне на пари в сметката на мобилния ви телефон?

Запознайте се с това, така изглежда един типичен ransomware вирус! Този вирус приема хиляди различни форми и стотици вариации. Той обаче е лесен за разпознаване по прост знак: той ви моли да поставите пари (обаждане) на непознат номер и в замяна обещава да отключи компютъра ви.Какво да правя?

Първо, осъзнайте, че това е вирус, чиято цел е да изсмуче възможно най-много пари от вас. Ето защо не се поддавайте на провокациите му.

Запомнете едно просто нещо, не изпращайте SMS. Те ще изтеглят всички пари, които са в баланса (обикновено заявката казва 200-300 рубли). Понякога те изискват да изпратиш два, три или повече SMS-а. Не забравяйте, че вирусът няма да изчезне от вашия компютър, независимо дали изпращате пари на измамници или не. Trojan winloc ще остане на вашия компютър, докато не го премахнете сами.

Планът за действие е следният: 1. Премахнете блока от компютъра 2. Премахнете вируса и лекувайте компютъра.

Начини за отключване на вашия компютър:

1. Въведете кода за отключванеИ. Най-често срещаният начин за справяне с неприличен банер. Можете да намерите кода тук: Dr.web, Kasperskiy, Nod32. Не се притеснявайте, ако кодът не работи, преминете към следващата стъпка.

2. Опитайте да стартирате в безопасен режим. За да направите това, след като включите компютъра, натиснете F8. Когато се появи прозорецът с опции за зареждане, изберете „безопасен режим с поддръжка на драйвери“ и изчакайте системата да се зареди.

2а.Сега нека опитаме възстановяване на системата(start-standard-system-restore) към по-ранна контролна точка. 2б. Създаване на нов акаунт.Отидете на Старт - Контролен панел - Акаунти. Добавете нов акаунт и рестартирайте компютъра. Когато го включите, изберете новосъздадения акаунт. Да преминем към.

3. Опитайте ctrl+alt+del- трябва да се появи диспечера на задачите. Стартираме помощни програми за лечение чрез диспечера на задачите. (изберете файла - нова задача и нашите програми). Друг начин е да задържите Ctrl + Shift + Esc и докато държите тези клавиши, да търсите и изтривате всички странни процеси, докато работният плот не се отключи.

4. Най-надеждният начин- Това означава инсталиране на нова ОС (операционна система). Ако абсолютно трябва да запазите старата операционна система, тогава ще разгледаме по-трудоемък начин за справяне с този банер. Но не по-малко ефективен!

Друг начин (за напреднали потребители):

5. Зареждане от диск LiveCDкойто има програма за редактиране на регистър. Системата се стартира, отворете редактора на системния регистър. В него ще видим регистъра на текущата система и заразената (клоновете й от лявата страна са показани със подпис в скоби).

Намираме ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - там търсим Userinit - изтриваме всичко след запетаята. ВНИМАНИЕ! Самият файл „C:\Windows\system32\userinit.exe“ НЕ МОЖЕ да бъде изтрит.);

Вижте стойността на ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, трябва да е explorer.exe. Приключихме с регистъра.

Ако се появи грешката „Редактирането на системния регистър е забранено от системния администратор“, изтеглете програмата AVZ. Отворете "Файл" - "Възстановяване на системата" - Отметнете "Отключване на редактора на системния регистър", след което щракнете върху "Извършване на избрани операции". Редакторът отново е достъпен.

Стартираме инструмента за премахване на Kaspersky и dr.web cureit и сканираме цялата система с тях. Остава само да рестартирате и да върнете настройките на биоса. Вирусът обаче все още НЕ е премахнат от компютъра.

Третиране на вашия компютър от троянски WinLock

За това имаме нужда от:
- Редактор на системния регистър ReCleaner
- популярна антивирусна програма Инструмент за премахване на Kaspersky
- известен антивирус Dr.web cureit
- ефективна антивирусна програма Removeit pro
- Помощна програма за поправка на системния регистър Plstfix
- Програма за премахване на временни файлове ATF cleaner

1. Необходимо е да се отървете от вируса в системата. За да направите това, стартирайте редактора на системния регистър. Отидете в Меню - Задачи - Стартирайте редактора на системния регистър. Трябва да се намери:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - там търсим секцията Userinit - изтриваме всичко след запетаята. ВНИМАНИЕ! Самият файл „C:\Windows\system32\userinit.exe“ НЕ МОЖЕ да бъде изтрит.);

Вижте стойността на ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, там трябва да има explorer.exe. Приключихме с регистъра.

Сега изберете раздела "Стартиране". Преглеждаме елементите за стартиране, поставяме отметки в квадратчетата и изтриваме (долния десен ъгъл) всичко, което не сте инсталирали, оставяйки само работния плот и ctfmon.exe. Останалите процеси svchost.exe и other.exe от директорията на windows трябва да бъдат премахнати.
Изберете Задача - Почистване на системния регистър - Използване на всички опции. Програмата ще сканира целия регистър и ще изтрие всичко за постоянно.

2. За да намерим самия код, се нуждаем от следните помощни програми: Kaspersky, Dr.Web и RemoveIT. Забележка: RemoveIT ще ви помоли да актуализирате базите данни със сигнатури за вируси. Необходимо е да се установи интернет връзка, докато се актуализира!
С тези програми сканираме системния диск и изтриваме всичко, което намерят. Ако желаете, можете да проверите всички компютърни устройства за всеки случай. Ще отнеме много повече време, но е по-надеждно.

3. Следващата помощна програма е Plstfix. Възстановява регистъра след нашите действия върху него. В резултат на това диспечерът на задачите и безопасният режим ще започнат да работят отново.

4. За всеки случай изтрийте всички временни файлове. Често копия на вируса са скрити в тези папки. Ето как дори добре познатите антивируси може да не ги открият. По-добре е ръчно да премахнете всичко, което няма да повлияе значително на работата на системата. Инсталирайте ATF Cleaner, маркирайте всичко и го изтрийте.

5. Рестартирайте системата. Всичко работи! още по-добре от преди :).

Днес искам да говоря за SMS изнудванечрез интернет и компютър . Тоест случаите, когато вашият компютър след посещение на определени сайтове се заразява с банери, които блокират напълно или частично работата на системата. За да деблокирате, трябва да изпратите съобщение на кратък номер.

Първо, нека да разберем какви видове банери за ransomware съществуват. ДА СЕ първи тип включват банери, които се появяват само при стартиране на интернет браузъри (Internet Explorer, Opera, Mozilla Firefox, Google Chrome и др.). Тези банери също се наричат доносници .

Втори типбанерите се поставят на работния плот и заемат по-голямата част от него, без да блокират стартирането на други програми, което ви позволява да отворите главното меню, диспечера на задачите и др.

Трети типбанерите са най-отвратителни. Той напълно блокира работата на компютъра, изисквайки изпращане на SMS на кратък номер. В отговор се обещава код за отключване. Невъзможно е да влезете нормално в системата дори в безопасен режим. Запомнете едно: никога не изпращайте SMS на посочените номера! Това си е чиста проба измама, попадаща в съответните членове на Наказателния кодекс. Нито един потребител никога не е получавал отговор на SMS с код за отключване на банер.

И така, никой не знае как, но банерът е попаднал на вашия компютър. Независимо дали това се е случило, след като сте кликнали върху връзката, предоставена в имейла, или просто сте изтеглили нещо – има много опции. Какво да направите в този случай? Първо, трябва да решите какъв тип банер за ransomware е на вашия компютър. Ако се затвори заедно с браузъра, това е първият тип, ако се стартират Task Manager, Notepad или други приложения, това е вторият тип, ако нищо не помогне и банерът виси, това е третият.

За да премахнете първия тип ransomware, трябва внимателно да прегледате всички настройки на браузъра и да премахнете всички добавки, добавки и разширения, които не сте инсталирали. Ние правим същото за JavaScript аплети и DLL файлове.

Вторият тип SMS рансъмуер не е толкова лесен за изчистване от системата, но също е възможно. Първият начин е да посетите уебсайта на антивирусна компания. Всички повече или по-малко големи компании отдавна са публикували информация на официалните си уебсайтове за това как да премахнат банер за рансъмуер чрез „законни“ методи. Трябва да намерите информация на уебсайта, която се отнася конкретно за краткия номер, на който трябва да изпратите SMS съобщение. Там, в сайта, се дава и код за отключване и то абсолютно безплатно. След отключване актуализирайте базите данни със сигнатури на антивирусна програма за инсталираната от вас антивирусна програма и изпълнете пълно сканиране на целия компютър. Отстранете безмилостно всяка инфекция, която намерите. Ако нямате инсталирана антивирусна програма, изтеглете безплатната помощна програма CureIt от уебсайта на Dr.Web и проверете компютъра си с нея. След проверка почистете системния регистър със специална помощна програма - средство за почистване на системния регистър или го направете ръчно, ако, разбира се, разбирате това.

Ако имате трети тип банер за рансъмуер, тогава не можете без LiveCD диск или без да премахнете твърдия си диск и да го свържете към друг компютър. Процедурата тук е следната: стартирайте от диска, стартирайте CureIt, проверете компютъра за инфекция и изтрийте всичко намерено. Отново стартирайте програмата за почистване на системния регистър и изтрийте ключовете, които са свързани със зловреден софтуер. Ако нямате LiveCD, свържете твърдия си диск към друг компютър и стартирайте антивирусната програма на него, като преди това, разбира се, актуализирате базите данни с вируси. След това рестартираме и се наслаждаваме на живота.

Със сигурност всеки четвърти потребител на персонален компютър се е сблъсквал с различни измами в интернет. Един вид измама е банер, който блокира работата на Windows и изисква да изпратите SMS на платен номер или изисква криптовалута. По същество това е просто вирус.

За да се борите с рансъмуера за банери, трябва да разберете какво представлява и как прониква в компютъра ви. Обикновено един банер изглежда така:

Но може да има всякакви други варианти, но същността е същата - измамниците искат да спечелят пари от вас.

Начини, по които вирусът влиза в компютъра

Първият вариант за „заразяване“ са пиратски приложения, помощни програми и игри. Разбира се, интернет потребителите са свикнали да получават повечето от това, което искат онлайн, „безплатно“, но когато изтегляме пиратски софтуер, игри, различни активатори и други неща от подозрителни сайтове, рискуваме да се заразим с вируси. В тази ситуация обикновено помага.

Windows може да бъде блокиран поради изтеглен файл с разширение " .exe" Това не означава, че трябва да откажете да изтегляте файлове с това разширение. Просто запомни това " .exe"може да се отнася само за игри и програми. Ако изтеглите видеоклип, песен, документ или снимка и името му има „.exe“ в края, тогава шансът да се появи банер за рансъмуер се увеличава рязко до 99,999%!

Има и един хитър трик с уж необходимостта от актуализиране на Flash player или браузър. Може да се случи така, че ще работите в Интернет, ще преминавате от страница на страница и един ден ще намерите надпис, че „вашият Flash плейър е остарял, моля, актуализирайте“. Ако щракнете върху този банер и той не ви отведе до официалния уебсайт на adobe.com, тогава това е 100% вирус. Затова проверете, преди да щракнете върху бутона „Актуализиране“. Най-добрият вариант би бил да игнорирате напълно такива съобщения.

И накрая, остарелите актуализации на Windows отслабват сигурността на вашата система. За да защитите компютъра си, опитайте се да инсталирате актуализации навреме. Тази функция може да бъде конфигурирана в „Контролен панел -> Windows Update“на автоматичен режим, за да не се разсейва.

Как да отключите Windows 7/8/10

Една от простите опции за премахване на банера за рансъмуер е. Помага на 100%, но има смисъл да преинсталирате Windows, когато нямате важни данни на устройство „C“, които не сте имали време да запазите. Когато преинсталирате системата, всички файлове ще бъдат изтрити от системния диск. Ето защо, ако не искате да преинсталирате софтуер и игри, тогава можете да използвате други методи.

След лечение и успешно стартиране на системата без банера за рансъмуер, трябва да предприемете допълнителни стъпки, в противен случай вирусът може да се появи отново или просто ще има проблеми в работата на системата. Всичко това е в края на статията. Цялата информация е проверена лично от мен! И така, да започваме!

Kaspersky Rescue Disk + WindowsUnlocker ще ни помогне!

Ще използваме специално разработена операционна система. Цялата трудност е, че трябва да изтеглите изображението на работния си компютър и или (превъртете през статиите, то е там).

Когато това е готово, трябва. В момента на стартиране ще се появи малко съобщение, като например „Натиснете произволен клавиш, за да стартирате от CD или DVD.“ Тук трябва да натиснете произволен бутон на клавиатурата, в противен случай заразеният Windows ще стартира.

Когато зареждате, натиснете който и да е бутон, след това изберете езика - „Руски“, приемете лицензионното споразумение с помощта на бутона „1“ и използвайте режима на стартиране – „Графичен“. След стартиране на операционната система Kaspersky не обръщаме внимание на автоматично стартирания скенер, а отиваме в менюто „Старт“ и стартираме „Терминал“

Ще се отвори черен прозорец, където пишем командата:

windowsunlocker

Ще се отвори малко меню:

Изберете „Отключване на Windows“ с бутона „1“. Самата програма ще провери и коригира всичко. Сега можете да затворите прозореца и да проверите целия компютър с вече работещ скенер. В прозореца поставете отметка върху диска с Windows OS и щракнете върху „Стартиране на сканиране на обекти“

Изчакваме проверката да приключи (може да отнеме много време) и накрая рестартираме.

Ако имате лаптоп без мишка и тъчпадът не работи, предлагам да използвате текстовия режим на диска Kaspersky. В този случай, след стартиране на операционната система, първо трябва да затворите менюто, което се отваря с бутона „F10“, след което въведете същата команда в командния ред: windowsunlocker

Отключване в безопасен режим, без специални изображения

Днес вируси като Winlocker са станали по-умни и блокират зареждането на Windows в безопасен режим, така че най-вероятно няма да успеете, но ако няма изображение, опитайте. Вирусите са различни и различните методи могат да работят за всеки, но принципът е един и същ.

Рестартирайте компютъра. По време на зареждане трябва да натиснете клавиша F8, докато се появи менюто с разширени опции за стартиране на Windows. Трябва да използваме стрелките надолу, за да изберем от списъка извикан елемент „Безопасен режим с поддръжка на командния ред“.

Това е мястото, където трябва да отидем и да изберем желания ред:

След това, ако всичко върви добре, компютърът ще се зареди и ще видим работния плот. Страхотен! Но това не означава, че сега всичко работи. Ако не премахнете вируса и просто рестартирате в нормален режим, банерът ще изскочи отново!

Ние се лекуваме с помощта на Windows

Трябва да възстановите системата, когато банерът за блокиране все още не съществува. Прочетете внимателно статията и направете всичко, което е написано там. Под статията има видео.

Ако това не помогне, натиснете бутоните "Win ​​+ R" и напишете командата в прозореца, за да отворите редактора на системния регистър:

regedit

Ако вместо работния плот се стартира черен команден ред, просто въведете командата „regedit“ и натиснете „Enter“. Трябва да проверим някои раздели на системния регистър за наличие на вируси или, по-точно, зловреден код. За да започнете тази операция, отидете на този път:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

Сега проверяваме следните стойности в ред:

• Shell – тук трябва да пише “explorer.exe”, не трябва да има други опции
• Userinit – тук текстът трябва да е „C:\Windows\system32\userinit.exe,“

Ако операционната система е инсталирана на друго устройство, различно от C:, тогава буквата там ще бъде различна. За да промените неправилни стойности, щракнете с десния бутон върху реда, който искате да редактирате, и изберете „редактиране“:

След това проверяваме:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Тук изобщо не трябва да има ключове Shell и Userinit; ако има, изтрийте ги.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

И също така не забравяйте да:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Ако не сте сигурни дали трябва да изтриете ключа, можете първо да добавите „1“ към параметъра. Пътят ще бъде неправилен и програмата просто няма да стартира. След това можете да го върнете както беше.

Сега трябва да стартирате вградената помощна програма за почистване на системата, ние го правим по същия начин, както стартирахме редактора на системния регистър „regedit“, но пишем:

cleanmgr

Изберете устройството с операционната система (C: по подразбиране) и след сканиране поставете отметки във всички квадратчета с изключение на „Актуализиране на архивни файлове на пакета“

И щракнете върху „OK“. С това действие може да сме деактивирали автоматичното стартиране на вируса и след това трябва да почистим следите от неговото присъствие в системата и прочетете за това в края на статията.

Помощна програма AVZ

Идеята е в безопасен режим да стартираме добре познатата антивирусна програма AVZ. В допълнение към сканирането за вируси, програмата има само много функции за отстраняване на системни проблеми. Този метод повтаря стъпките за затваряне на дупки в системата, след като вирусът е проработил, вкл. За да се запознаете с него, преминете към следващата точка.

Отстраняване на проблеми след премахване на ransomware

Честито! Ако четете това, това означава, че системата е стартирала без банер. Сега те трябва да проверят цялата система. Ако сте използвали спасителния диск на Kaspersky и сте проверили там, можете да пропуснете тази точка.

Може да има и още един проблем, свързан с дейността на злодея - вирусът може да криптира вашите файлове. И дори след като го изтриете напълно, просто няма да можете да използвате вашите файлове. За да ги дешифрирате, трябва да използвате програми от уебсайта на Kaspersky: XoristDecryptor и RectorDecryptor. Там има и инструкции за употреба.

Но това не е всичко, защото... Winlocker най-вероятно е изиграл мръсен номер със системата и ще се наблюдават различни проблеми и проблеми. Например редакторът на системния регистър и диспечерът на задачите няма да стартират. За лечение на системата ще използваме програмата AVZ.

Възможно е да има проблем при изтегляне чрез Google Chrome, защото... Този браузър смята програмата за злонамерена и не ви позволява да я изтеглите! Този въпрос вече беше повдигнат в официалния форум на Google и към момента на писане на тази статия всичко вече е нормално.

За да изтеглите архива с програмата, трябва да отидете на „Изтегляния“ и там да щракнете върху „Изтегляне на злонамерен файл“ :) Да, разбирам, че това изглежда малко глупаво, но очевидно Chrome вярва, че програмата може да навреди на средния потребител . И това е вярно, ако го бръкнете някъде! Затова спазваме стриктно инструкциите!

Разопаковаме архива с програмата, записваме го на външен носител и го стартираме на заразения компютър. Да отидем в менюто "Файл -> Възстановяване на системата", поставете отметки в квадратчетата както е на снимката и изпълнете операциите:

Сега вървим по следния път: „Файл -> Съветник за отстраняване на неизправности“, след което отидете на „Системни проблеми -> Всички проблеми“и кликнете върху бутона "Старт". Програмата ще сканира системата и след това в прозореца, който се показва, поставете отметки във всички квадратчета с изключение на „Деактивиране на автоматичните актуализации на операционната система“ и тези, които започват с фразата „Разрешаване на автоматично стартиране от...“.

Щракнете върху бутона „Коригиране на отбелязани проблеми“. След успешно завършване отидете на: „Настройки и настройки на браузъра -> Всички проблеми“, тук поставяме отметки във всички квадратчета и щракваме върху бутона „Отстраняване на отбелязани проблеми“ по същия начин.

Ние правим същото с „Поверителност“, но тук не поставяйте отметки в квадратчетата, които отговарят за изчистването на отметките в браузърите и каквото друго смятате за необходимо. Завършваме проверката в секциите „Почистване на системата“ и „Премахване на рекламен софтуер/лента с инструменти/похитител на браузър“.

Накрая затворете прозореца, без да излизате от AVZ. В програмата намираме „Инструменти -> Редактор на разширения на Explorer“и премахнете отметките от елементите, които са маркирани в черно. Сега да преминем към: „Инструменти -> Мениджър на разширения на Internet Explorer“и изтрийте напълно всички редове в прозореца, който се появява.

Вече казах по-горе, че този раздел на статията също е един от начините за излекуване на Windows от банер рансъмуер. Така че в този случай трябва да изтеглите програмата на работния си компютър и след това да я запишете на флаш устройство или диск. Извършваме всички действия в безопасен режим. Но има и друга опция за стартиране на AVZ, дори ако безопасният режим не работи. Трябва да стартирате от същото меню, когато системата се зарежда, в режим „Отстраняване на неизправности на вашия компютър“

Ако сте го инсталирали, той ще се покаже в най-горната част на менюто. Ако не е там, опитайте да стартирате Windows, докато се появи банерът и изключете компютъра. След това го включете - може да се предложи нов режим на стартиране.

Стартиране от инсталационен диск на Windows

Друг сигурен начин е да стартирате от всеки инсталационен диск на Windows 7-10 и да изберете не „Инсталиране“ там, а "Възстановяване на системата". Когато инструментът за отстраняване на неизправности работи:

• Там трябва да изберете „Команден ред“.
• В черния прозорец, който се появява, напишете: “notepad”, т.е. стартирайте обикновен бележник. Ще го използваме като мини проводник
• Отидете в менюто „Файл -> Отвори“, изберете типа файл „Всички файлове“
• След това намерете папката с програмата AVZ, щракнете с десния бутон върху файла, който ще стартирате „avz.exe“ и стартирайте помощната програма, като използвате елемента от менюто „Отвори“ (не елемента „Избор“!).

Ако всичко друго се провали

Отнася се за случаите, когато по някаква причина не можете да стартирате от флаш устройство със записано изображение на Kaspersky или програмата AVZ. Всичко, което трябва да направите, е да премахнете твърдия диск от вашия компютър и да го свържете като второ устройство към работния си компютър. След това стартирайте от НЕЗАРАЗЕН твърд диск и сканирайте ВАШИЯ диск със скенер на Kaspersky.

Никога не изпращайте SMS съобщения, които измамниците искат. Какъвто и да е текстът, не изпращайте съобщения! Опитайте се да избягвате подозрителни сайтове и файлове и като цяло четете. Следвайте инструкциите и тогава вашият компютър ще бъде в безопасност. И не забравяйте за антивирусната програма и редовните актуализации на операционната система!

Ето видео, където можете да видите всичко с пример. Плейлистът се състои от три урока:

PS: кой метод ви помогна? Пишете за това в коментарите по-долу.