Odstranění banneru ransomwaru ze systému Windows 7. Jak se banneru ransomwaru zbavit? Metody odemknutí počítače

Trojské koně Winlocker jsou typem malwaru, který zablokováním přístupu na plochu z uživatele vymáhá peníze – pokud prý převede požadovanou částku na účet útočníka, obdrží odemykací kód.

Pokud po zapnutí počítače místo plochy uvidíte:

Nebo něco jiného ve stejném duchu – s výhružnými nápisy, a někdy i s obscénními obrázky, nespěchejte s obviňováním svých blízkých ze všech hříchů. Oni a možná i vy sami jste se stali obětí ransomwaru trojan.winlock.

Jak se do vašeho počítače dostanou blokátory ransomwaru?

Nejčastěji se blokátory dostanou do vašeho počítače následujícími způsoby:

• prostřednictvím hacknutých programů, jakož i nástrojů pro hackování placeného softwaru (cracks, keygeny atd.);
• stažené přes odkazy ze zpráv na sociálních sítích, zaslaných údajně známými, ale ve skutečnosti útočníky z hacknutých stránek;
• stažené z phishingových webových zdrojů, které napodobují známé stránky, ale ve skutečnosti jsou vytvořeny speciálně pro šíření virů;
• přijít e-mailem ve formě příloh průvodních dopisů se zajímavým obsahem: „byl jsi žalován...“, „byl jsi vyfocen na místě činu“, „vyhrál jsi milion“ a podobně.

Pozornost! Pornografické bannery nejsou vždy stahovány z porno stránek. Zvládnou to od těch nejobyčejnějších.

Stejným způsobem se šíří i další typ ransomwaru – blokátory prohlížečů. Například takto:

Požadují peníze za přístup k prohlížení webu přes prohlížeč.

Jak odstranit banner „Windows blokován“ a podobné?

Když je vaše plocha zablokována a virový banner brání spuštění jakýchkoli programů na vašem počítači, můžete provést následující:

• přejděte do nouzového režimu s podporou příkazového řádku, spusťte editor registru a odstraňte klíče automatického spuštění banneru.
• spusťte z Live CD ("živého" disku), například ERD commander, a odstraňte banner z počítače jak prostřednictvím registru (klíče autorun), tak prostřednictvím Průzkumníka (soubory).
• prohledejte systém ze spouštěcího disku antivirem, například Dr.Web LiveDisk popř Kaspersky Rescue Disk 10.

Metoda 1. Odebrání Winlocker z nouzového režimu s podporou konzoly.

Jak tedy odstranit banner z počítače pomocí příkazového řádku?

Na strojích s Windows XP a 7 je potřeba před spuštěním systému rychle stisknout klávesu F8 a vybrat označenou položku z nabídky (ve Windows 8\8.1 tato nabídka není, takže budete muset nabootovat z instalace disk a odtud spusťte příkazový řádek).

Místo plochy se před vámi otevře konzole. Chcete-li spustit editor registru, zadejte do něj příkaz regedit a stiskněte Enter.

Dále otevřete editor registru, najděte v něm záznamy o virech a opravte to.

Nejčastěji jsou bannery ransomwaru registrovány v následujících sekcích:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- zde mění hodnoty parametrů Shell, Userinit a Uihost (poslední parametr je dostupný pouze ve Windows XP). Musíte je opravit na normální:

• Shell = Explorer.exe
• Userinit = C:\WINDOWS\system32\userinit.exe, (C: je písmeno systémového oddílu. Pokud je Windows na jednotce D, cesta k Userinit bude začínat D:)
• Uihost = LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- viz parametr AppInit_DLLs. Normálně může chybět nebo mít prázdnou hodnotu.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- zde ransomware vytvoří nový parametr s hodnotou v podobě cesty k souboru blockeru. Název parametru může být řetězec písmen, například dkfjghk. Je potřeba ho úplně odstranit.

Totéž platí pro následující sekce:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Chcete-li opravit klíče registru, klikněte pravým tlačítkem na parametr, vyberte „Změnit“, zadejte novou hodnotu a klikněte na OK.

Poté restartujte počítač v normálním režimu a spusťte antivirovou kontrolu, která odstraní všechny soubory ransomwaru z vašeho pevného disku.

Metoda 2. Odstranění Winlocker pomocí ERD Commander.

ERD commander obsahuje velkou sadu nástrojů pro obnovu Windows, včetně těch poškozených blokováním trojských koní. Pomocí vestavěného editoru registru ERDregedit můžete provádět stejné operace, jaké jsme popsali výše.

ERD commander bude nepostradatelný, pokud je Windows uzamčen ve všech režimech. Jeho kopie jsou distribuovány nelegálně, ale lze je snadno najít na internetu.

Sady příkazů ERD pro všechny verze Windows se nazývají spouštěcí disky MSDaRT (Microsoft Diagnostic & Recovery Toolset) a jsou ve formátu ISO, který je vhodný pro vypálení na DVD nebo přenos na flash disk.

Po zavedení z takového disku je třeba vybrat verzi systému a přejít do nabídky a kliknout na Editor registru.

Ve Windows XP je postup mírně odlišný – zde je potřeba otevřít nabídku Start, vybrat Nástroje pro správu a Editor registru.

Po úpravě registru znovu spusťte systém Windows - s největší pravděpodobností neuvidíte banner „Počítač je blokován“.

Metoda 3. Odstranění blokátoru pomocí antivirového „záchranného disku“.

Jedná se o nejjednodušší, ale také nejdelší způsob odemykání. Stačí vypálit obraz Dr.Web LiveDisk nebo Kaspersky Rescue Disk na DVD, nabootovat z něj, spustit skenování a počkat na dokončení. Virus bude zabit.

Odstranění bannerů z vašeho počítače pomocí disků Dr.Web i Kaspersky je stejně účinné.

Jak chránit počítač před blokátory?

• Nainstalujte si spolehlivý antivirus a udržujte jej stále aktivní.
• Před spuštěním zkontrolujte zabezpečení všech souborů stažených z internetu.
• Neklikejte na neznámé odkazy.
• Neotevírejte přílohy e-mailů, zejména ty, které přicházejí v dopisech se zajímavým textem. Dokonce i od svých přátel.
• Sledujte, jaké stránky navštěvují vaše děti. Použijte rodičovskou kontrolu.
• Pokud je to možné, nepoužívejte pirátský software – mnoho placených programů lze nahradit bezpečnými bezplatnými.

Jak se zbavit banneru

S obrovským pocitem vděku našemu čtenáři za tento odkaz na virovou stránku, kde by mohl být můj počítač infikován bannerem ransomwaru, jsem vypnul antivirus a určitou ochranu, o které bude řeč níže, a následoval tento odkaz. Otevřel se web, na kterém jsem viděl pouze obrys kytary, doslova o sekundu později se spustil virový kód vložený na hlavní stránce tohoto webu, což je javascript, a moje plocha byla zablokována bannerem ransomwaru. ani nestihl na nic kliknout (samozřejmě vám nedám odkaz na stránky s virem, administrace těchto stránek, později jsem napsal dopis a virus byl ze stránek odstraněn, ale obecně se v životě může stát cokoliv, žádný web není 100% imunní vůči hackování).

No, teď podrobný příběh o jak se zbavit banneru, pokud jste ho již chytili. Uvedené informace jsou vhodné pro operační systémy Windows Vista, .

První věc, kterou uděláme, je přejít na webové stránky předních antivirových společností, které poskytují služby pro odemknutí vašeho počítače z banneru ransomware.

1. Dr.Web https://www.drweb.com/xperf/unlocker
2. NOD32 http://www.esetnod32.ru/.support/winlock
3. Kaspersky Lab http://sms.kaspersky.ru

Bohužel se mi nepodařilo najít odblokovací kód, virus byl zřejmě napsán nedávno.
Druhá věc, kterou můžete zkusit, je restartovat počítač a při načítání stisknout F-8, Pojďme Odstraňování problémů, to je, pokud máte nainstalovaný Windows 7; v operačním systému Windows XP přejděte rovnou do nouzového režimu s podporou příkazového řádku (přečtěte si, co dělat níže).

Dobrý den, vážení čtenáři blogu, dlouho jsem chtěl napsat článek o tom, jak odstranit ransomware virus (Winlocker), který blokuje přihlášení do vašeho počítače.
Nejčastěji se s tímto problémem setkávají nezkušení uživatelé, kteří se čirou náhodou nebo svou nedbalostí stali obětí podvodníků. Kvůli své nezkušenosti mnoho lidí posílá SMS na odblokování banneru s nadějí, že obdrží kód, a utratí spoustu peněz, než bude jasné, že se jedná pouze o ransomwarový virus, který infikoval váš počítač, se kterým lze bojovat bez investování peněz .

Hned řeknu, že za žádných okolností neplaťte peníze podvodníkům, vše, co je napsáno na takovém SMS banneru, je čistý podvod. I když se rozhodnete jít cestou nejmenšího odporu a budete platit, není pravda, že to váš problém vyřeší.

Také se neuchylujte k poslednímu řešení - nepřeinstalujte systém. Jakýkoli škodlivý program lze odstranit jednoduchým způsobem a bez následků. Přeinstalace systému může znamenat úplné odstranění všech nezbytných informací. Můžete jej použít pouze v případě, že na vašem počítači není nic cenného.

Vliv ransomwaru na váš systém

Winlocker zcela pozastaví operační systém a zablokuje přístup ke spouštění programů a ploše. Virus ransomware blokuje přístup ke správci úloh a spustí se ihned po načtení systému Windows. Někdy se stane, že škodlivý program zabrání spuštění systému v nouzovém režimu, v této situaci bude řešení problému mnohem obtížnější.

Když se virový program dostane do zařízení, zaznamená se několikrát na různých místech, takže je obtížné jej identifikovat, natož odstranit.

Řeknu vám pár slov o tom, proč k této situaci dochází. Nejčastěji lze výskyt tohoto typu viru pozorovat na těch počítačích, kde není antivirová ochrana. Chcete-li chránit své zařízení před malwarem, doporučuji vám přečíst si tento článek . Musíte také pochopit, že na webových stránkách musíte být velmi opatrní a neklikat na neznámé odkazy. Stále existuje velmi vysoká pravděpodobnost nákazy takovou infekcí po stažení a instalaci programu z neověřeného zdroje. Při práci na internetu nezapomínejte chránit svůj počítač, sebemenší ostražitost pomůže předejít dalším problémům.

Nezapomeňte provádět údržbu počítače, aktualizovat antivirus a pravidelně skenovat zařízení na přítomnost malwaru (můžete nastavit automatické skenování v určitý den a čas). Pokud budete dodržovat jednoduchá pravidla, můžete se infekci vyhnout.

Pokud se tedy stále rozhodnete vypořádat se s tímto problémem sami, podívejme se na několik možností, jak odblokovat virus ransomware. Začneme nejjednodušší metodou a postupně přejdeme ke složitější. Pokud vám některá z možností pomůže, zůstaňte u ní.

Spouštění příkazů z příkazového řádku

Nedávno jsem se dozvěděl o existenci nejjednodušší metody, ale ta není schopna problém vyřešit na všech strojích.

První věc, kterou musíme udělat, je . Restartujeme počítač a během načítání pravidelně mačkáme klávesu F8. Pokud jste vše udělali správně, měli byste vidět nabídku dalších možností spouštění systému Windows. V této nabídce vyberte možnost spuštění systému Nouzový režim s podporou příkazového řádku a stiskněte Enter. Po načtení se zobrazí pouze příkazový řádek bez plochy a na ní přítomných zástupců a ikon. Zadejte následující příkazy jeden po druhém

• tým cleanmgr– Nástroj Cleanmgr.exe je určen k odstranění nepotřebných a zastaralých souborů;
• tým rstrui– příkaz pro spuštění obnovy systému (tento příkaz bude fungovat pouze v případě, že jste jej nezakázali v nastavení systému).

Po postupném zadávání příkazů restartujeme počítač a zkontrolujeme přítomnost banneru. Pokud chybí, pak nám pomohla tato metoda, pokud ne, přejděte k další.

Odstranění blokování ze spuštění

Stejně jako v první metodě spustíme zařízení a stisknutím klávesy F8 načteme nabídku dalších možností. Poté vyberte položku Nouzový režim a stiskněte Enter. Funkci Spustit spustíme přes nabídku Start nebo současným stisknutím kláves Ctrl+R a v poli vykonat zadejte příkaz msconfig. Tím se otevře okno možností spouštění systému Windows. Otevřete kartu Po spuštění a pokuste se najít podezřelé programy.

Nejčastěji se název takových programů skládá z náhodné sady písmen. Pokud jste takový program našli, zrušte zaškrtnutí políčka vedle něj. Musíte se také podívat, ve které složce je uložen a smazat ji. Před provedením těchto akcí vám doporučuji přečíst si materiály v článku.

Po dokončení operací restartujte počítač a zkontrolujte, zda je problém vyřešen. Pokud virus SMS stále odmítá přístup, přejděte k další metodě.

Čištění registru od stop banneru

Pokud jste dosáhli tohoto bodu a předchozí pokusy byly marné, pak by vám tato metoda měla pomoci odblokovat ransomware virus o 98 %.

Chtěl bych poznamenat, že všechny níže uvedené akce musí být prováděny velmi pečlivě a přísně podle pokynů. Úpravou klíčů registru mohou nesprávné akce způsobit nenapravitelné poškození systému a zbývá pouze přeinstalovat systém Windows.

Spusťte tedy systém v nouzovém režimu; jak to udělat, je popsáno výše. Čekáme na stažení a spustíme možnost „Spustit“ v poli okna, které se otevře, zadejte příkaz regedit. Po zadání příkazu se před vámi otevře okno Editoru registru.

Poté přejděte na následující cestu HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

V pravém sloupci uvidíte dva parametry Shell a Userinit. Naproti těmto parametrům je sloupec hodnota. V těchto sloupcích by nemělo být nic nadbytečného (naproti parametru Shell by měla být hodnota explorer.exe, naproti Userinit hodnota userinit.exe). Pokud tam jsou další hodnoty, pak je to výsledek viru a můžete vše bezpečně smazat.

Pro uklidnění vašeho svědomí vám také doporučuji přejít v nastavení registru na následující adresu ….. \ Microsoft\ Okna\ Současná verze\ Běh
a zkontrolujte, zda se v pravém poli okna nenacházejí nějaké nepotřebné nebo neznámé programy; pokud jsou nějaké nalezeny, odstraňte je.

Restartujte počítač a radujte se, že virus zmizel.

Jsem si téměř stoprocentně jistý, že pokud je vše provedeno správně, banner blokující spuštění Windows zmizí. Ale pro každý případ vám dám jiný způsob, jak odstranit ransomware. Samozřejmě to není tak vážné jako ostatní, ale někdy je to neméně účinné.

Datum převodu v Biosu

Když se systém spustí, přejděte do Bios a změňte datum a čas na týden předem. Stává se, že banner zmizí, ale to se stává velmi zřídka.

Poté, co se vám podaří zbavit se blokování systému Windows, zkontrolujte, zda váš počítač neobsahuje malware. Musí být provedeno úplné skenování, ne rychlé. Je potřeba myslet i na kvalitní ochranu vašeho zařízení. Pokud nemáte peníze na placený antivirus jako např., pak si můžete zdarma stáhnout antivirus tzv.

A posledním krokem bude kontrola, zda váš počítač neobsahuje malware. K tomu existuje několik bezplatných programů, o kterých se budu věnovat v následujících článcích mého blogu.

Opravdu doufám, že jsem vám pomohl přijít na to, jak odstranit banner ransomware, ale pokud máte nějaké dotazy, zeptejte se jich v komentářích a rád se pokusím pomoci.

Ahoj všichni! Dnes jsem se rozhodl napsat článek ze svého počítače. Na internetu je každým dnem více a více podvodníků. Proto se zvyšuje hrozba infekce počítače. Ransomware viry jsou nyní velmi běžné, blokují vaši plochu a vymáhají peníze. Je jasné, že za to nebudeme platit peníze, ale vyčistíme počítač od této infekce.

Věřím, že bannery ransomwaru jsou známkou nezodpovědnosti a drzosti. Než tento virus odstraníme, podívejme se, odkud se vzal, abychom byli do budoucna co nejlépe vyzbrojeni. Mimochodem, bannery se setkávají s různým obsahem, takže více panikaříte a posíláte peníze podvodníkům. Mnoho lidí se ztratí a pošle peníze, ale to nelze! Odkud tedy pocházejí bannery ransomwaru?

Pirátské aplikace
Každý má přirozeně rád pozornost, ale přemýšleli jste někdy o tom, co to vlastně je? Ukazuje se, že při stahování pirátských programů, aktivátorů, cracků, tabletů riskujeme zachycení virového programu v počítači. Každé stažení takových souborů může být fatální a vést k špatným následkům. Abyste se vyhnuli virům, používejte oficiální programy.

Stahování z World Wide Web
Pokaždé, když si stáhnete nějaké soubory, existuje šance, že můžete infikovat svůj počítač. Existuje mnoho případů, kdy si osoba stáhla určitý soubor a po restartu se objevil banner. Proto doporučuji stahovat soubory jakéhokoli druhu z důvěryhodných nebo doporučených stránek, kam se denně stahují tisíce návštěvníků.

Aktualizace flash přehrávače
Když trávíte čas na internetu, možná jste někde viděli banner s nápisem „Váš přehrávač je třeba aktualizovat“ nebo „Váš přehrávač je zastaralý“. Vězte – je to virus! Samozřejmě, pokud tento druh banneru nevede na web Adobe.

Popsal jsem nejčastější důvody, proč se virus dostane do vašeho počítače. Abyste snížili pravděpodobnost, že se škodlivý kód dostane do vašeho počítače, musíte mít nový antivirus, nezapomeňte na něj! Teď se na to podíváme jak odstranit banner ransomware z osobního počítače. Ještě jednou však opakuji – nikdy neposílejte své peníze těmto podvodníkům. Je to velmi důležité!!! I když jej pošlete, banner nikam nepůjde a podvodníci díky vám zbohatnou.

Nejjednodušší způsob je přeinstalovat operační systém. už jsem psal. Všechny vaše nainstalované programy, součásti, antivirus a nastavení však bude nutné znovu nainstalovat.

Existuje další způsob, jak odstranit banner ransomwaru bez přeinstalace operačního systému. Zvážíme to. První věc, kterou musíte udělat, je restartovat počítač. Během načítání systému Windows stiskněte tlačítko F8.

Pomocí šipek na klávesnici přesuňte kurzor a vyberte část Nouzový režim s podporou příkazového řádku.

Poté by se měl počítač spustit a uvidíte plochu. Dále klikněte na Start a zadejte slovo regedit do vyhledávacího pole Najít programy a soubory.

Po zadání a stisknutí klávesy Enter se otevře registr Windows.

Zde je potřeba zkontrolovat všechny sekce na přítomnost škodlivého kódu nebo viru.

Musíte zkontrolovat následující hodnoty:
Userinit – mělo by tam být „C:Windowssystem32userinit.exe“
Shell - "explorer.exe"
Chcete-li změnit hodnoty, musíte kliknout pravým tlačítkem myši na řádek a vybrat v horní části Upravit.

Takto můžete jednoduše odstranit banner ransomware z vašeho počítače. Posledním krokem je restartování počítače a užívání si plochy. To je vše a buďte opatrní na internetu!

Po restartu počítače se na monitoru zobrazí výzva k odeslání placené SMS, nebo k vložení peněz na účet mobilního telefonu?

Seznamte se s tím, takhle vypadá typický ransomware virus! Tento virus přichází v tisících různých forem a stovkách variant. Snadno ho však poznáte podle jednoduchého znamení: požádá vás, abyste vložili peníze (zavolali) na neznámé číslo, a na oplátku vám slíbí odemknutí počítače. Co dělat?

Nejprve si uvědomte, že se jedná o virus, jehož cílem je vysát z vás co nejvíce peněz. Proto nepodléhejte jeho provokacím.

Pamatujte na jednoduchou věc, neposílejte žádné SMS. Vyberou všechny peníze, které jsou na zůstatku (obvykle žádost říká 200-300 rublů). Někdy vyžadují, abyste poslali dvě, tři nebo více SMS. Pamatujte, že virus z vašeho počítače nezmizí, ať už posíláte peníze podvodníkům nebo ne. Trojský kůň winloc zůstane ve vašem počítači, dokud jej sami neodstraníte.

Akční plán je následující: 1. Odstraňte blok z počítače 2. Odstraňte virus a ošetřete počítač.

Způsoby, jak odemknout počítač:

1. Zadejte odblokovací kód A. Nejběžnější způsob, jak se vypořádat s obscénním bannerem. Kód najdete zde: Dr.web, Kasperskiy, Nod32. Nedělejte si starosti, pokud kód nefunguje, přejděte k dalšímu kroku.

2. Zkuste zavést systém do nouzového režimu. Chcete-li to provést, po zapnutí počítače stiskněte klávesu F8. Když se zobrazí okno s možnostmi spouštění, vyberte „nouzový režim s podporou ovladače“ a počkejte, až se systém zavede.

2a. Teď to zkusíme obnovit systém(start-standard-system-restore) do dřívějšího kontrolního bodu. 2b. Vytvořit nový účet. Přejděte na Start - Ovládací panely - Účty. Přidejte nový účet a restartujte počítač. Když jej zapnete, vyberte nově vytvořený účet. Pojďme k .

3. Zkuste ctrl+alt+del- měl by se objevit správce úloh. Spouštíme léčebné nástroje prostřednictvím správce úloh. (vyberte soubor - nový úkol a naše programy). Dalším způsobem je podržet Ctrl + Shift + Esc a při držení těchto kláves hledat a mazat všechny podivné procesy, dokud se plocha neodemkne.

4. Nejspolehlivější způsob- To znamená instalaci nového OS (operačního systému). Pokud si nutně potřebujete ponechat starý OS, podíváme se na pracnější způsob, jak se s tímto bannerem vypořádat. Ale neméně efektivní!

Další způsob (pro pokročilé uživatele):

5. Bootování z disku LiveCD který má program na úpravu registru. Systém se zavedl, otevřete editor registru. V něm uvidíme registr aktuálního systému a infikovaného (jeho větve na levé straně jsou zobrazeny s podpisem v závorce).

Najdeme klíč HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - tam hledáme Userinit - vše za čárkou smažeme. POZORNOST! Samotný soubor „C:\Windows\system32\userinit.exe“ NELZE smazat.);

Podívejte se na hodnotu klíče HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, měl by to být explorer.exe. S registrem jsme skončili.

Pokud se objeví chyba „Úprava registru je zakázána správcem systému“, stáhněte si program AVZ. Otevřete "Soubor" - "Obnovení systému" - Zaškrtněte "Odemknout Editor registru" a poté klikněte na "Provést vybrané operace". Editor je opět k dispozici.

Spouštíme nástroj pro odstranění Kaspersky a dr.web cureit a skenujeme s nimi celý systém. Zbývá jen restartovat a vrátit nastavení biosu. Virus však ještě NEBYL z počítače odstraněn.

Ošetření počítače před trojským koněm WinLock

K tomu potřebujeme:
- Editor registru ReCleaner
- populární antivirus Odstraňování nástrojů Kaspersky
- slavný antivirus Dr.web cureit
- účinný antivirus Removeit pro
- Nástroj pro opravu registru Plstfix
- Program pro odstranění dočasných souborů ATF čistič

1. Je nutné se zbavit viru v systému. Chcete-li to provést, spusťte editor registru. Přejděte na Nabídka - Úkoly - Spusťte Editor registru. Je potřeba najít:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - tam hledáme sekci Userinit - smažeme vše za čárkou. POZORNOST! Samotný soubor „C:\Windows\system32\userinit.exe“ NELZE smazat.);

Podívejte se na hodnotu klíče HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, měl by tam být explorer.exe. S registrem jsme skončili.

Nyní vyberte kartu "Spuštění". Prohlédneme si spouštěcí položky, zaškrtneme políčka a smažeme (v pravém dolním rohu) vše, co jste nenainstalovali, ponecháme pouze plochu a ctfmon.exe. Zbývající procesy svchost.exe a other.exe z adresáře Windows musí být odstraněny.
Vyberte Úkol - Vyčistit registr - Použít všechny možnosti. Program prohledá celý registr a vše trvale smaže.

2. K nalezení samotného kódu potřebujeme následující nástroje: Kaspersky, Dr.Web a RemoveIT. Poznámka: RemoveIT vás požádá o aktualizaci virových databází. Během aktualizace je nutné navázat připojení k internetu!
Pomocí těchto programů prohledáme systémový disk a odstraníme vše, co najdou. Pokud chcete, můžete pro jistotu zkontrolovat všechny jednotky počítače. Bude to trvat mnohem déle, ale je to spolehlivější.

3. Dalším nástrojem je Plstfix. Obnoví registr po našich akcích na něm. V důsledku toho začnou znovu fungovat správce úloh a nouzový režim.

4. Pro jistotu smažte všechny dočasné soubory. Kopie viru jsou často skryty v těchto složkách. Takto je nemusí detekovat ani známé antiviry. Je lepší ručně odstranit vše, co výrazně neovlivní chod systému. Nainstalujte ATF Cleaner, vše označte a smažte.

5. Restartujte systém. Všechno funguje! ještě lepší než předtím :).