Jak se zbavit banneru ransomware. Jak odblokovat Windows před ransomware virem
Jak se zbavit banneru
S obrovským pocitem vděčnosti našemu čtenáři za tento odkaz na virovou stránku, kde by mohl být můj počítač infikován bannerem ransomwaru, jsem vypnul antivirus a určitou ochranu, o které bude řeč níže, a následoval tento odkaz. Otevřel se web, na kterém jsem viděl pouze obrys kytary, doslova o sekundu později se spustil virový kód vložený na hlavní stránce tohoto webu, což je javascript, a moje plocha byla zablokována bannerem ransomwaru. ani nestihl na nic kliknout (samozřejmě vám nedám odkaz na stránky s virem, administrace těchto stránek, později jsem napsal dopis a virus byl ze stránek odstraněn, ale obecně se v životě může stát cokoliv, žádný web není 100% imunní vůči hackování).
No, teď podrobný příběh o jak se zbavit banneru, pokud jste ho již chytili. Uvedené informace jsou vhodné pro operační systémy Windows Vista, .
První věc, kterou uděláme, je přejít na webové stránky předních antivirových společností, které poskytují služby pro odemknutí vašeho počítače z banneru ransomware.
- Dr.Web https://www.drweb.com/xperf/unlocker
- NOD32 http://www.esetnod32.ru/.support/winlock
- Kaspersky Lab http://sms.kaspersky.ru
Bohužel se mi nepodařilo najít odemykací kód, zřejmě byl virus napsán nedávno.
Druhá věc, kterou můžete zkusit, je restartovat počítač a při načítání stisknout F-8, Pojďme Odstraňování problémů, pokud máte nainstalovaný Windows 7 v operačním systému Windows XP, přejděte rovnou do nouzového režimu s podporou příkazového řádku (přečtěte si, co dělat níže).
V současné době žijeme v počítačové éře. Počítač je nyní v každé domácnosti a kanceláři, a dokonce nejen v jednom. Počítače slouží ke vzdělávání a zábavě. A pokud máte internet, můžete platit služby a provést bankovní převod. Je to opravdu velmi pohodlné a výrazně nám to usnadňuje život. A všechno by bylo v pořádku, kdyby se ozvaly zločiny kybernetický zločin, zkazí nám náladu a odlehčí peněžence :-).
Pojďme se blíže podívat na to, co to je a jak s tím můžeme bojovat.
Elektronické platební systémy Webmoney, Qiwi, Yandex money a další - všichni jsme je používali a oceňovali jejich schopnosti. Některé z nich jsou bezpečnější a mají vazbu na konkrétní počítač, dvojitou autentizaci pomocí SMS a nainstalovanou mobilní aplikaci ve vašem smartphonu nebo tabletu. Některá jsou méně bezpečná a uložená hesla ukládají přímo v prohlížeči, odkud je, pokud opravdu chcete, můžete zkopírovat a získat přístup ke svému účtu. Abyste tomu zabránili, musíte počítač chránit pomocí antivirových programů.
Proto, V počítači byste měli mít vždy nainstalovaný antivirový program s nejnovějšími aktualizacemi!
Většině panáků bude stačit nainstalovat bezplatný antivirus Avast. Raději alespoň něco než vůbec nic.
Podívejme se na situaci na počítači vůbec žádný antivirus. Co to znamená? Dokonce i používání internetu po dobu dvou až tří hodin s odinstalovaným nebo deaktivovaným antivirem vám zajistí vysokou pravděpodobnost „vyzvednutí“ malwaru z internetu. Za jakým účelem jsou tyto programy napsány? A cíl je jednoduchý: zločinec, když za to bude čelit trestní odpovědnosti, nebude šířit viry, pokud z toho nebude mít významný příjem... Viry také. V poslední době byly psány s cílem vzít vaše peníze. skryté nebo zřejmé způsoby.
trojské koně
Skrytou metodou Na vašem počítači je nainstalován škodlivý program, tzv. trojský kůň. Proniká přes zranitelnost počítače, například při deaktivaci firewallu nebo při přístupu k určité skupině webů. Nejčastěji se jedná o stránky s erotickým obsahem. S jasnou metodou abyste si odnesli peníze, sami převedete peníze za odemknutí počítače tak či onak na účet zločinců. Navíc ve skutečnosti nemusí dojít k odemknutí, protože po převodu peněz o vás zločinci prostě nebudou mít zájem.
Rozhodl jsem se provést riskantní experiment). Aktualizoval jsem svou antivirovou databázi a šel jsem na zjevně podezřelou stránku, abych vám ukázal, jak vypadá. Okamžitě se nám nabídne stažení neznámého souboru ovladače, a to i bez uvedení modelu webové kamery.
Název webu je viditelný na snímku obrazovky a nemá žádný sémantický význam. S největší pravděpodobností se tak stalo záměrně, aby se tato stránka jmenovitě přiřadila k co největšímu počtu dotazů vyhledávače, abyste nepostřehli rozpor mezi tématy. Navíc na obrazovce vidíme velké množství lidí, kteří si stáhli a údajně jim děkovali.
Podvodné stránky
Velmi často při vyhledávání vidíme napodobování stránek fóra s nejasným názvem a nabídkou ke stažení souboru, který potřebujeme. Dále přichází otázka od „uživatele“: Žádají o zaslání SMS pro stažení tohoto souboru. S radostí mu vysvětlují, že jde o ochranu před roboty, vše bylo zkontrolováno, nebojte se
Samozřejmě, že poté, co odešlete SMS, která se ukáže jako zaplacená, bude z vašeho účtu stržena pořádná částka pod chatrnou záminkou poskytování zábavních nebo informačních služeb.
Nikdy také neinstalujte na svůj počítač různé druhy Toolbarů, navzdory všem výhodám této instalace, které vám speciálně najatí zkušení autoři barvitě popíší:
Je lepší zdržet se návštěvy stránek, pokud vidíme toto varování:
I když je to možné - je to jen zajištění od programátorů Yandex. To platí i pro různá rozšíření z neověřených zdrojů. Pod rouškou toho se často skrývají nejrůznější viry.
Bannery
Podívejme se, jak se nakazí počítač s nainstalovaným antivirem, ale ne s nejnovějšími databázemi a povoleným firewallem?
Nejčastěji si nezkušený uživatel stáhne škodlivý software do svého počítače, aniž by o tom věděl. Dá se to zamaskovat za cokoli, například za utilitu nebo ovladač se samorozbalovacím archivem s příponou *.exe, nebo dokonce, jak se stalo mému šéfovi, za důležitý dopis, prý od rozhodčího soudu. Takto vypadá jeden z možných bannerů ransomwaru, které se mohou objevit na vaší ploše:
Podnikatelé mají často spoustu problémů. Když ztratili rozum, okamžitě si stáhnou přílohu z e-mailu a otevřou ji. Navíc se v tomto případě soubor jmenoval „Dopis“. A dokonce i ikona měla podobu obálky. Lidem s malým vzděláním v počítačové oblasti to bohužel stačí. Právě nestandardní přípona souboru a její ikona upozorní nás, zkušenější uživatele.
Poté se na ploše objevil banner s názvem Watnik 91
Není jasné, koho se tímto způsobem chystali uvést v omyl, zřejmě to bylo vše, čeho byla jejich představivost schopna.
Na tomto banneru byl tedy vytištěn text, že všechny vaše soubory s příponou DOC, PDF, XLS, JPEG a možná i některé další byly zašifrovány. Podařilo se nám je dešifrovat, ale až po dvou týdnech korespondence a odesílání vzorků zašifrovaných souborů na speciální stránku pro poskytování pomoci pomocníkům.
Odstranění banneru pomocí AntiSMS
S bannery ransomwaru jsem se setkal již dříve. Pro tento případ mám spouštěcí disk s názvem Anti SMS, speciálně vytvořený pro boj s bannery ransomwaru. Velmi snadno se s ním pracuje. Během prvních 5 sekund po spuštění počítače stačí několikrát stisknout klávesu BIOS. Pro různé verze základních desek se jedná o různé klávesy, například Delete, F2, F11 a další, viz výzvy na obrazovce monitoru ihned po spuštění PC.
Po nahrání oříznuté verze OS (operačního systému) do paměti RAM počítače musíme stisknout pouze jedno tlačítko-ikonu na obrazovce monitoru a počkat na zprávu, že počítač byl vyčištěn. Autostart počítače, do kterého se virus zaregistruje, bude vymazán. Po restartování počítače uvidíme, že banner ransomwaru zmizel.
Spouštěcí disk nebo flash
Co dělat, když je váš počítač infikován, na obrazovce je podobný banner, který blokuje přístup k internetu a provoz počítače a vy takový disk nemáte? No, ukázalo se, že jste na takový obrat událostí nepřipravený!?
Poté můžete zavést systém z disku Linux Live Cd, například Ubuntu nebo Runtu, s výchozí podporou přístupu k internetu přes Ethernet. Ti, kteří jsou v tématu, pochopí
A pak si stáhněte utilitu Dr web CureIt na flash disk
Nebo se přihlaste a proveďte tyto akce z jiného počítače. Tento nástroj vám umožní vyčistit počítač od virů po spuštění systému Windows v nouzovém režimu. Chcete-li to provést, musíte nástroj zapsat na jednotku flash a po načtení systému Windows v nouzovém režimu spustit tento nástroj z jednotky flash.
Tento nástroj je zcela zdarma a je dodáván s nejnovějšími verzemi databáze.
Doufám, že po přečtení tohoto článku bude váš počítač spolehlivě chráněn. A pokud se na vaší ploše objeví banner ransomwaru, můžete jej rychle a nezávisle odstranit.
Po restartu počítače se na monitoru zobrazí výzva k odeslání placené SMS, případně k vložení peněz na účet mobilního telefonu?
Seznamte se s tím, takhle vypadá typický ransomware virus! Tento virus má tisíce různých forem a stovky variant. Snadno ho však poznáte podle jednoduchého znamení: požádá vás, abyste vložili peníze (zavolali) na neznámé číslo, a na oplátku vám slíbí odemknutí počítače. Co dělat?
Nejprve si uvědomte, že se jedná o virus, jehož cílem je vysát z vás co nejvíce peněz. Proto nepodléhejte jeho provokacím.
Pamatujte na jednoduchou věc, neposílejte žádné SMS. Vyberou všechny peníze, které jsou na zůstatku (obvykle žádost říká 200-300 rublů). Někdy vyžadují, abyste poslali dvě, tři nebo více SMS. Pamatujte, že virus z vašeho počítače nezmizí, ať už posíláte peníze podvodníkům nebo ne. Trojský kůň winloc zůstane ve vašem počítači, dokud jej sami neodstraníte.
Akční plán je následující: 1. Odstraňte blok z počítače 2. Odstraňte virus a ošetřete počítač.
Způsoby odemknutí počítače:
1. Zadejte odblokovací kód A. Nejběžnější způsob, jak se vypořádat s obscénním bannerem. Kód najdete zde: Dr.web, Kasperskiy, Nod32. Nedělejte si starosti, pokud kód nefunguje, přejděte k dalšímu kroku.
2. Zkuste zavést systém do nouzového režimu. Chcete-li to provést, po zapnutí počítače stiskněte klávesu F8. Když se zobrazí okno s možnostmi spouštění, vyberte „nouzový režim s podporou ovladače“ a počkejte, až se systém zavede.
2a. Teď to zkusíme obnovit systém(start-standard-system-restore) do dřívějšího kontrolního bodu. 2b. Vytvořit nový účet. Přejděte na Start - Ovládací panely - Účty. Přidejte nový účet a restartujte počítač. Když jej zapnete, vyberte nově vytvořený účet. Pojďme k.
3. Zkuste ctrl+alt+del- měl by se objevit správce úloh. Spouštíme léčebné nástroje prostřednictvím správce úloh. (vyberte soubor - nový úkol a naše programy). Dalším způsobem je podržet Ctrl + Shift + Esc a při držení těchto kláves hledat a mazat všechny podivné procesy, dokud se plocha neodemkne.
4. Nejspolehlivější způsob- To znamená instalaci nového OS (operačního systému). Pokud si nutně potřebujete ponechat starý OS, podíváme se na pracnější způsob, jak se s tímto bannerem vypořádat. Ale neméně efektivní!
Další způsob (pro pokročilé uživatele):
5. Bootování z disku LiveCD který má program na úpravu registru. Systém se zavedl, otevřete editor registru. V něm uvidíme registr aktuálního systému a infikovaného (jeho větve na levé straně jsou zobrazeny s podpisem v závorce).
Najdeme klíč HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - tam hledáme Userinit - vše za čárkou smažeme. POZORNOST! Samotný soubor „C:\Windows\system32\userinit.exe“ NELZE smazat.);
Podívejte se na hodnotu klíče HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, měl by to být explorer.exe. S registrem jsme skončili.
Pokud se objeví chyba „Úprava registru je zakázána správcem systému“, stáhněte si program AVZ. Otevřete "Soubor" - "Obnovení systému" - Zaškrtněte "Odemknout Editor registru" a poté klikněte na "Provést vybrané operace". Editor je opět k dispozici.
Spouštíme nástroj pro odstranění Kaspersky a dr.web cureit a skenujeme s nimi celý systém. Zbývá jen restartovat a vrátit nastavení biosu. Virus však ještě NEBYL z počítače odstraněn.
Ošetření počítače před trojským koněm WinLock
K tomu potřebujeme:
- Editor registru ReCleaner
- populární antivirus Odstraňování nástrojů Kaspersky
- slavný antivirus Dr.web cureit
- účinný antivirus Removeit pro
- Nástroj pro opravu registru Plstfix
- Program pro odstranění dočasných souborů ATF čistič
1. Je nutné se zbavit viru v systému. Chcete-li to provést, spusťte editor registru. Přejděte na Nabídka - Úkoly - Spusťte Editor registru. Potřebujete najít:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - tam hledáme sekci Userinit - smažeme vše za čárkou. POZORNOST! Samotný soubor „C:\Windows\system32\userinit.exe“ NELZE smazat.);
Podívejte se na hodnotu klíče HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, měl by tam být explorer.exe. S registrem jsme hotovi.
Nyní vyberte kartu "Spuštění". Prohlédneme si spouštěcí položky, zaškrtneme políčka a smažeme (v pravém dolním rohu) vše, co jste nenainstalovali, zbyde pouze plocha a ctfmon.exe. Zbývající procesy svchost.exe a other.exe z adresáře Windows musí být odstraněny.
Vyberte Úkol - Vyčistit registr - Použít všechny možnosti. Program prohledá celý registr a vše trvale smaže.
2. K nalezení samotného kódu potřebujeme následující nástroje: Kaspersky, Dr.Web a RemoveIT. Poznámka: RemoveIT vás požádá o aktualizaci virových databází. Během aktualizace je nutné navázat připojení k internetu!
Pomocí těchto programů prohledáme systémový disk a odstraníme vše, co najdou. Pokud chcete, můžete pro jistotu zkontrolovat všechny jednotky počítače. Bude to trvat mnohem déle, ale je to spolehlivější.
3. Dalším nástrojem je Plstfix. Obnoví registr po našich akcích na něm. V důsledku toho začnou znovu fungovat správce úloh a nouzový režim.
4. Pro jistotu smažte všechny dočasné soubory. Kopie viru jsou často skryty v těchto složkách. Takto je nemusí detekovat ani známé antiviry. Je lepší ručně odstranit vše, co výrazně neovlivní chod systému. Nainstalujte ATF Cleaner, vše označte a smažte.
5. Restartujte systém. Všechno funguje! ještě lepší než předtím :).
Dnes chci mluvit o SMS vydíránípřes internet a počítač . Tedy případy, kdy se váš počítač po návštěvě určitých stránek nakazí bannery, které zcela nebo částečně blokují chod systému. Chcete-li odblokovat, musíte odeslat zprávu na krátké číslo.
Za prvé, pojďme zjistit, jaké typy bannerů ransomwaru existují. NA první typ zahrnout bannery, které se zobrazí pouze při spuštění internetových prohlížečů (Internet Explorer, Opera, Mozilla Firefox, Google Chrome atd.). Tyto bannery se také nazývají udavači .
Druhý typ bannery jsou umístěny na ploše a zabírají většinu z ní, aniž by blokovaly spouštění jiných programů, což vám umožňuje otevřít hlavní nabídku, správce úloh atd.
Třetí typ bannery jsou nejhnusnější. Zcela blokuje provoz počítače a vyžaduje odeslání SMS zprávy na krátké číslo. Jako odpověď je slíben odblokovací kód. Není možné se normálně přihlásit do systému ani v nouzovém režimu. Pamatujte na jednu věc: nikdy neposílejte SMS na zadaná čísla! Jedná se o čistý podvod, spadající pod příslušné články trestního zákoníku. Ani jeden uživatel nikdy neobdržel odpovědní SMS zprávu s kódem pro odblokování banneru.
Takže nikdo neví jak, ale banner se dostal do vašeho počítače. Ať už se to stalo poté, co jste klikli na odkaz uvedený v e-mailu, nebo jste si prostě něco stáhli – existuje mnoho možností. Co dělat v tomto případě? Nejprve se musíte rozhodnout, jaký typ banneru ransomwaru je na vašem počítači. Pokud se zavře spolu s prohlížečem, jedná se o první typ, pokud jsou spuštěny Správce úloh, Poznámkový blok, Word nebo jiné aplikace, jedná se o druhý typ, pokud nic nepomůže a banner visí, je to třetí.
Chcete-li odstranit první typ ransomwaru, musíte pečlivě zkontrolovat všechna nastavení prohlížeče a odstranit všechny pluginy, doplňky a rozšíření, které jste nenainstalovali. Totéž děláme pro aplety JavaScriptu a knihovny DLL.
Druhý typ SMS ransomware není tak snadné vyčistit ze systému, ale je to také možné. Prvním způsobem je navštívit webovou stránku antivirové společnosti. Všechny více či méně velké společnosti již dávno zveřejnily na svých oficiálních stránkách informace o tom, jak odstranit banner ransomwaru pomocí „legálních“ metod. Na webu musíte najít informace, které se týkají konkrétně krátkého čísla, na které jste požádáni o zaslání SMS zprávy. Na webu je také uveden odblokovací kód a je zcela zdarma. Po odemknutí aktualizujte databáze antivirových signatur pro antivirus, který jste nainstalovali, a spusťte úplnou kontrolu celého počítače. Nemilosrdně odstraňte jakoukoli infekci, kterou najdete. Nemáte-li nainstalovaný žádný antivirus, pak si z webu Dr.Web stáhněte bezplatnou utilitu CureIt a zkontrolujte s ní svůj počítač. Po kontrole vyčistěte registr speciální utilitou - čistič registrů, nebo to proveďte ručně, pokud tomu samozřejmě rozumíte.
Pokud máte třetí typ banneru ransomwaru, pak se neobejdete bez disku LiveCD nebo bez odebrání pevného disku a jeho připojení k jinému počítači. Zde je postup následující: nabootovat z disku, spustit CureIt, zkontrolovat počítač na infekci a vše nalezené smazat. Znovu spusťte čistič registru a odstraňte klíče, které souvisely s malwarem. Pokud nemáte LiveCD, připojte svůj pevný disk k jinému počítači a spusťte na něm antivirus, samozřejmě poté, co jste předtím aktualizovali virové databáze. Poté restartujeme a užíváme si života.
Každý čtvrtý uživatel osobního počítače se jistě na internetu setkal s různými podvody. Jedním z typů podvodů je banner, který blokuje provoz Windows a vyžaduje odeslání SMS na placené číslo nebo požaduje kryptoměnu. V podstatě je to jen virus.
Chcete-li bojovat s banner ransomware, musíte pochopit, co to je a jak proniká do vašeho počítače. Banner obvykle vypadá takto:
Mohou ale existovat nejrůznější další varianty, ale podstata je stejná – podvodníci na vás chtějí vydělat.
Způsoby, jak se virus dostane do počítače
První možností pro „infekci“ jsou pirátské aplikace, nástroje a hry. Uživatelé internetu jsou samozřejmě zvyklí získat většinu toho, co chtějí, online „zdarma“, ale při stahování pirátského softwaru, her, různých aktivátorů a dalších věcí z podezřelých stránek riskujeme, že se nakazíme viry. V této situaci obvykle pomáhá.
Systém Windows může být zablokován kvůli staženému souboru s příponou " .exe" To neznamená, že byste měli odmítnout stahování souborů s touto příponou. Jen si to pamatuj" .exe"se může vztahovat pouze na hry a programy. Pokud si stáhnete video, skladbu, dokument nebo obrázek a jeho název má na konci „.exe“, pak se šance, že se objeví banner ransomwaru, prudce zvýší na 99,999 %!
Existuje také záludný trik s údajnou nutností aktualizovat přehrávač Flash nebo prohlížeč. Může se stát, že budete pracovat na internetu, přesouvat se ze stránky na stránku a jednoho dne najdete nápis, že „váš Flash player je zastaralý, prosím aktualizujte“. Pokud kliknete na tento banner a nevede vás na oficiální web adobe.com, pak je to 100% virus. Proto před kliknutím na tlačítko „Aktualizovat“ zkontrolujte. Nejlepší možností by bylo takové zprávy úplně ignorovat.
A konečně, zastaralé aktualizace Windows oslabují zabezpečení vašeho systému. Chcete-li svůj počítač chránit, snažte se instalovat aktualizace včas. Tuto funkci lze nakonfigurovat v "Ovládací panely -> Windows Update" do automatického režimu, abyste nebyli rušeni.
Jak odemknout Windows 7/8/10
Jednou z jednoduchých možností, jak odstranit banner ransomwaru, je. Pomáhá to 100%, ale má smysl přeinstalovat Windows, když na disku „C“ nemáte důležitá data, která jste nestihli uložit. Při přeinstalaci systému budou ze systémového disku odstraněny všechny soubory. Pokud tedy nechcete přeinstalovat software a hry, můžete použít jiné metody.
Po ošetření a úspěšném spuštění systému bez banneru ransomwaru je třeba provést další kroky, jinak se virus může znovu objevit, nebo prostě nastanou nějaké problémy v provozu systému. To vše je na konci článku. Všechny informace byly mnou osobně ověřeny! Takže, začněme!
Kaspersky Rescue Disk + WindowsUnlocker nám pomůže!
Použijeme speciálně vyvinutý operační systém. Celý problém je v tom, že si obrázek musíte stáhnout do svého pracovního počítače a nebo (projděte články, je to tam).
Když je to připraveno, potřebujete. V okamžiku spuštění se zobrazí malá zpráva, například „Stiskněte libovolnou klávesu pro spuštění z CD nebo DVD“. Zde je potřeba stisknout libovolné tlačítko na klávesnici, jinak se spustí infikovaný Windows.
Při načítání stiskněte libovolné tlačítko, poté vyberte jazyk – „Russian“, přijměte licenční smlouvu pomocí tlačítka „1“ a použijte režim spouštění – „Graphic“. Po spuštění operačního systému Kaspersky nevěnujeme pozornost automaticky spuštěnému skeneru, ale přejděte do nabídky „Start“ a spusťte „Terminál“
Otevře se černé okno, kam zapíšeme příkaz:
odemykač oken
Otevře se malé menu:
Vyberte „Odemknout Windows“ pomocí tlačítka „1“. Program sám vše zkontroluje a opraví. Nyní můžete zavřít okno a zkontrolovat celý počítač s již spuštěným skenerem. V okně zaškrtněte disk s OS Windows a klikněte na „Spustit kontrolu objektů“
Čekáme na dokončení kontroly (může to trvat dlouho) a nakonec restartujeme.
Pokud máte notebook bez myši a touchpad nefunguje, doporučuji použít textový režim disku Kaspersky. V takovém případě musíte po spuštění operačního systému nejprve zavřít nabídku, která se otevře tlačítkem „F10“, a poté zadat stejný příkaz do příkazového řádku: windowsunlocker
Odemykání v nouzovém režimu, bez speciálních obrázků
Dnes jsou viry jako Winlocker chytřejší a blokují načítání systému Windows v nouzovém režimu, takže s největší pravděpodobností neuspějete, ale pokud neexistuje žádný obrázek, zkuste to. Viry jsou různé a na každého mohou fungovat jiné metody, ale princip je stejný.
Restartujte počítač. Během spouštění musíte stisknout klávesu F8, dokud se nezobrazí nabídka Rozšířené možnosti spuštění systému Windows. Musíme pomocí šipek dolů vybrat ze seznamu položku s názvem "Nouzový režim s podporou příkazového řádku".
Zde musíme jít a vybrat požadovaný řádek:
Dále, pokud vše půjde dobře, počítač naběhne a uvidíme plochu. Skvělý! To ale neznamená, že nyní vše funguje. Pokud virus neodstraníte a pouze restartujete v normálním režimu, banner se znovu objeví!
Jsme léčeni pomocí Windows
Pokud banner blokování ještě neexistoval, musíte obnovit systém. Přečtěte si pozorně článek a udělejte vše, co je tam napsáno. Pod článkem je video.
Pokud to nepomůže, stiskněte tlačítka „Win + R“ a napište příkaz do okna pro otevření editoru registru:
regedit
Pokud se místo plochy spustí černý příkazový řádek, jednoduše zadejte příkaz „regedit“ a stiskněte „Enter“. Musíme zkontrolovat některé části registru na přítomnost virů, nebo přesněji škodlivého kódu. Chcete-li zahájit tuto operaci, přejděte na tuto cestu:
HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon
Nyní zkontrolujeme následující hodnoty v pořadí:
- Zde musí být napsáno Shell – „explorer.exe“, jiné možnosti by neměly být
- Userinit – zde by měl být text „C:\Windows\system32\userinit.exe,“
Pokud je OS nainstalován na jiném disku než C:, bude tam písmeno jiné. Chcete-li změnit nesprávné hodnoty, klikněte pravým tlačítkem na řádek, který chcete upravit, a vyberte „upravit“:
Poté zkontrolujeme:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Neměly by zde být žádné klíče Shell a Userinit, pokud existují, odstraňte je.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
A také se ujistěte, že:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Pokud si nejste jisti, zda potřebujete klíč odstranit, můžete k parametru nejprve přidat „1“. Cesta bude nesprávná a program se jednoduše nespustí. Pak to můžete vrátit, jak to bylo.
Nyní musíte spustit vestavěný nástroj pro čištění systému, děláme to stejným způsobem, jako jsme spustili editor registru „regedit“, ale píšeme:
cleanmgr
Vyberte jednotku s operačním systémem (ve výchozím nastavení C:) a po skenování zaškrtněte všechna políčka kromě „Aktualizovat záložní soubory balíčku“
A klikněte na „OK“. Touto akcí jsme možná zakázali automatické spouštění viru a pak musíme vyčistit stopy jeho přítomnosti v systému a přečtěte si o tom na konci článku.
Nástroj AVZ
Myšlenka je taková, že v nouzovém režimu spustíme známou antivirovou utilitu AVZ. Kromě skenování virů má program jen mnoho funkcí pro řešení systémových problémů. Tato metoda opakuje kroky k uzavření děr v systému poté, co virus fungoval, vč. Chcete-li se s ním seznámit, přejděte k dalšímu bodu.
Oprava problémů po odstranění ransomwaru
Gratulujeme! Pokud toto čtete, znamená to, že systém se spustil bez banneru. Nyní musí zkontrolovat celý systém. Pokud jste použili záchranný disk Kaspersky a zaškrtli jste tam, můžete tento bod přeskočit.
S aktivitami padoucha může být spojen ještě jeden problém – virus dokáže zašifrovat vaše soubory. A ani po úplném smazání nebudete moci své soubory jednoduše používat. Chcete-li je dešifrovat, musíte použít programy z webu společnosti Kaspersky: XoristDecryptor a RectorDecryptor. Je tam i návod k použití.
Ale to není vše, protože... Winlocker s největší pravděpodobností sehrál se systémem špinavý trik a budou pozorovány různé závady a problémy. Například se nespustí Editor registru a Správce úloh. K ošetření systému použijeme program AVZ.
Při stahování pomocí prohlížeče Google Chrome může nastat problém, protože... Tento prohlížeč považuje program za škodlivý a neumožňuje vám jej stáhnout! Tato otázka již byla vznesena na oficiálním fóru Google a v době psaní tohoto článku vše už je to normální.
Chcete-li si archiv s programem stále stáhnout, musíte jít do „Stahování“ a tam kliknout na „Stáhnout škodlivý soubor“ :) Ano, chápu, že to vypadá trochu hloupě, ale zřejmě Chrome věří, že program může běžnému uživateli ublížit . A to je pravda, pokud to někam strčíte! Proto přísně dodržujeme pokyny!
Archiv s programem rozbalíme, zapíšeme na externí médium a spustíme na infikovaném počítači. Pojďme k menu "Soubor -> Obnovení systému", zaškrtněte políčka jako na obrázku a proveďte operace:
Nyní jdeme po následující cestě: "Soubor -> Průvodce odstraňováním problémů", pak přejděte na "Systémové problémy -> Všechny problémy" a klikněte na tlačítko „Start“. Program prohledá systém a poté v okně, které se objeví, zaškrtněte všechna políčka kromě „Zakázat automatické aktualizace operačního systému“ a těch, která začínají frází „Povolit automatické spouštění z...“.
Klikněte na tlačítko „Opravit zaznamenané problémy“. Po úspěšném dokončení přejděte na: „Nastavení a vylepšení prohlížeče -> Všechny problémy“, zde zaškrtneme všechna políčka a stejným způsobem klikneme na tlačítko „Opravit zaznamenané problémy“.
Totéž děláme s „Soukromí“, ale zde nezaškrtávejte políčka, která jsou zodpovědná za vymazání záložek v prohlížečích a cokoli dalšího, co považujete za nezbytné. Dokončili jsme kontrolu v částech „Čištění systému“ a „Odstranění adwaru/panelu nástrojů/odstranění únosce prohlížeče“.
Nakonec zavřete okno, aniž byste opustili AVZ. V programu najdeme "Nástroje -> Editor rozšíření Explorer" a zrušte zaškrtnutí těch položek, které jsou označeny černě. Nyní přejdeme na: "Nástroje -> Správce rozšíření Internet Explorer" a úplně vymažte všechny řádky v okně, které se objeví.
Již jsem řekl výše, že tato část článku je také jedním ze způsobů, jak vyléčit Windows z bannerového ransomwaru. V tomto případě si tedy musíte program stáhnout do svého pracovního počítače a poté jej zapsat na flash disk nebo disk. Všechny akce provádíme v bezpečném režimu. Existuje však další možnost, jak spustit AVZ, i když bezpečný režim nefunguje. Při spouštění systému musíte začít ze stejné nabídky v režimu „Odstraňování problémů s počítačem“.
Pokud jej máte nainstalovaný, zobrazí se úplně nahoře v nabídce. Pokud tam není, zkuste spustit Windows, dokud se nezobrazí banner, a odpojte počítač. Poté jej zapněte – může se nabídnout nový režim spouštění.
Spuštění z instalačního disku Windows
Dalším spolehlivým způsobem je zavést systém z libovolného instalačního disku Windows 7-10 a nevybrat tam možnost „Instalovat“, ale "Obnovení systému". Když je spuštěn nástroj pro odstraňování problémů:
- Zde musíte vybrat „Příkazový řádek“.
- V černém okně, které se objeví, napište: „notepad“, tj. spustit běžný poznámkový blok. Použijeme jej jako minidirigent
- Přejděte do nabídky „Soubor -> Otevřít“, vyberte typ souboru „Všechny soubory“
- Dále vyhledejte složku s programem AVZ, klikněte pravým tlačítkem myši na soubor, který chcete spustit „avz.exe“ a spusťte nástroj pomocí položky nabídky „Otevřít“ (nikoli položky „Vybrat“!).
Pokud vše ostatní selže
Týká se případů, kdy z nějakého důvodu nelze zavést systém z flash disku s nahraným obrazem Kaspersky nebo programem AVZ. Jediné, co musíte udělat, je vyjmout pevný disk z počítače a připojit jej jako druhý disk k pracovnímu počítači. Poté spusťte systém z NEINFIKOVANÉHO pevného disku a naskenujte SVŮJ disk skenerem Kaspersky.
Nikdy neposílejte SMS zprávy, o které podvodníci požádají. Ať už je text jakýkoli, neposílejte zprávy! Snažte se vyhýbat podezřelým stránkám a souborům a obecně čtěte. Postupujte podle pokynů a váš počítač bude v bezpečí. A nezapomeňte na antivirus a pravidelné aktualizace operačního systému!
Zde je video, kde je vše vidět i s ukázkou. Playlist se skládá ze tří lekcí:
PS: jaká metoda vám pomohla? Napište o tom do komentářů níže.
