Uklanjanje bannera ransomwarea iz sustava Windows 7. Kako se riješiti natpisa ransomwarea? Metode za otključavanje vašeg računala

Trojanci Winlocker vrsta su zlonamjernog softvera koji blokiranjem pristupa radnoj površini iznuđuje novac od korisnika - navodno ako prebaci traženi iznos na račun napadača, dobit će kod za otključavanje.

Ako nakon što uključite računalo umjesto radne površine vidite:

Ili nešto drugo u istom duhu - prijetećim natpisima, a ponekad i nepristojnim slikama, nemojte žuriti optuživati ​​svoje najdraže za sve grijehe. Oni, a možda i vi sami, postali su žrtve trojan.winlock ransomwarea.

Kako blokatori ransomwarea dospijevaju na vaše računalo?

Blokatori najčešće dospijevaju na vaše računalo na sljedeće načine:

  • putem hakiranih programa, kao i alata za hakiranje plaćenog softvera (crackovi, keygens, itd.);
  • preuzeto preko poveznica iz poruka na društvenim mrežama, koje su navodno poslali poznanici, a zapravo napadači sa hakiranih stranica;
  • preuzeti s phishing web izvora koji oponašaju dobro poznata mjesta, ali su zapravo stvoreni posebno za širenje virusa;
  • dolaze e-mailom u obliku privitaka uz pisma intrigantnog sadržaja: “tuženi ste...”, “slikani ste na mjestu zločina”, “osvojili ste milijun” i slično.

Pažnja! Pornografski natpisi ne preuzimaju se uvijek s pornografskih stranica. Mogu oni to od najobičnijih.

Druga vrsta ransomwarea širi se na isti način - blokatori preglednika. Na primjer, ovako:

Traže novac za pristup pregledavanju interneta putem preglednika.

Kako ukloniti natpis “Windows blokiran” i slične?

Kada je vaša radna površina blokirana i poruka o virusu sprječava pokretanje bilo kojeg programa na vašem računalu, možete učiniti sljedeće:

  • idite u sigurni način rada s podrškom za naredbeni redak, pokrenite uređivač registra i izbrišite tipke za automatsko pokretanje natpisa.
  • dignite se s Live CD-a ("live" disk), na primjer, ERD commander, i uklonite banner s računala kroz registar (autorun tipke) i kroz Explorer (datoteke).
  • skenirajte sustav s disketa za pokretanje s antivirusom, na primjer Dr.Web LiveDisk ili Kaspersky Rescue Disk 10.

Metoda 1. Uklanjanje Winlockera iz sigurnog načina rada s podrškom za konzolu.

Dakle, kako ukloniti banner s računala putem naredbenog retka?

Na strojevima s Windows XP i 7 prije pokretanja sustava potrebno je brzo pritisnuti tipku F8 i odabrati označenu stavku iz izbornika (u Windows 8\8.1 nema ovog izbornika pa ćete se morati dignuti s instalacije disk i s njega pokrenite naredbeni redak).

Umjesto desktopa, pred vama će se otvoriti konzola. Da biste pokrenuli uređivač registra, unesite naredbu u njega regedit i pritisnite Enter.

Zatim otvorite uređivač registra, pronađite u njemu unose virusa i popravite ih.

Najčešće su ransomware banneri registrirani u sljedećim odjeljcima:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- ovdje mijenjaju vrijednosti parametara Shell, Userinit i Uihost (zadnji parametar dostupan je samo u sustavu Windows XP). Morate ih popraviti u normalu:

  • Shell = Explorer.exe
  • Userinit = C:\WINDOWS\system32\userinit.exe, (C: je slovo sistemske particije. Ako je Windows na disku D, put do Userinit-a počet će s D:)
  • Uihost = LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- pogledajte parametar AppInit_DLLs. Normalno, može biti odsutan ili imati praznu vrijednost.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- ovdje ransomware stvara novi parametar s vrijednošću u obliku staze do datoteke blokatora. Naziv parametra može biti niz slova, na primjer, dkfjghk. Potrebno ga je potpuno ukloniti.

Isto vrijedi i za sljedeće odjeljke:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Da biste ispravili ključeve registra, desnom tipkom miša kliknite parametar, odaberite "Promijeni", unesite novu vrijednost i kliknite U redu.

Nakon toga ponovno pokrenite računalo u normalnom načinu rada i pokrenite antivirusno skeniranje. Uklonit će sve ransomware datoteke s vašeg tvrdog diska.

Metoda 2. Uklanjanje Winlockera pomoću ERD Commandera.

ERD commander sadrži velik skup alata za vraćanje sustava Windows, uključujući one oštećene blokiranjem trojanaca. Koristeći ugrađeni uređivač registra ERDregedit, možete izvoditi iste operacije kao što smo gore opisali.

ERD commander bit će neophodan ako je Windows zaključan u svim modovima. Njegove kopije se ilegalno distribuiraju, ali ih je lako pronaći na Internetu.

ERD commander setovi za sve verzije sustava Windows nazivaju se MSDaRT (Microsoft Diagnostic & Recovery Toolset) disketi za pokretanje; dolaze u ISO formatu, koji je prikladan za snimanje na DVD ili prijenos na flash pogon.

Nakon dizanja s takvog diska potrebno je odabrati svoju verziju sustava te otići na izbornik i kliknuti Registry Editor.

U sustavu Windows XP procedura je malo drugačija - ovdje je potrebno otvoriti izbornik Start, odabrati Administrativni alati i Registry Editor.

Nakon uređivanja registra ponovno pokrenite Windows - najvjerojatnije nećete vidjeti natpis "Računalo je blokirano".

Metoda 3. Uklanjanje blokatora pomoću antivirusnog "diska za spašavanje".

Ovo je najlakši, ali i najduži način otključavanja. Dovoljno je snimiti Dr.Web LiveDisk ili Kaspersky Rescue Disk image na DVD, pokrenuti se s njega, pokrenuti skeniranje i pričekati da završi. Virus će biti ubijen.

Uklanjanje bannera s računala pomoću Dr.Web i Kaspersky diskova jednako je učinkovito.

Kako zaštititi svoje računalo od blokatora?

  • Instalirajte pouzdan antivirusni program i neka bude aktivan cijelo vrijeme.
  • Provjerite sigurnost svih datoteka preuzetih s interneta prije pokretanja.
  • Ne klikajte na nepoznate poveznice.
  • Ne otvarajte privitke e-pošte, osobito one koji dolaze u pismima s intrigantnim tekstom. Čak i od svojih prijatelja.
  • Pratite koje stranice vaša djeca posjećuju. Koristite roditeljski nadzor.
  • Ako je moguće, nemojte koristiti piratski softver - mnogi plaćeni programi mogu se zamijeniti sigurnim besplatnim.

Kako se riješiti bannera

S velikim osjećajem zahvalnosti našem čitatelju za ovaj link na mjesto s virusima na kojem bi moje računalo moglo biti zaraženo bannerom ransomwarea, isključio sam svoj antivirus i neke zaštite, o kojima će biti riječi u nastavku, i slijedio ovaj link. Otvorila se stranica na kojoj sam uspio vidjeti samo obrise gitare, doslovno sekundu kasnije, aktivirao se virusni kod ugrađen u glavnu stranicu ove stranice, a to je javascript, a moj desktop je blokirao ransomware banner, ja nisam imao vremena ni kliknuti na bilo što (Naravno, neću vam dati poveznicu na stranicu s virusom, administracija ove stranice, kasnije sam napisao pismo i virus je uklonjen sa stranice, ali općenito, svašta se može dogoditi u životu, nijedna stranica nije 100% imuna na hakiranje).

Pa, sada detaljna priča o kako se riješiti bannera, ako ste ga već uhvatili. Navedene informacije prikladne su za operativne sustave Windows Vista, .

Prvo što ćemo učiniti jest otići na web stranice vodećih antivirusnih tvrtki koje pružaju usluge za otključavanje vašeg računala od bannera ransomwarea.

  1. Dr.Web https://www.drweb.com/xperf/unlocker
  2. NOD32 http://www.esetnod32.ru/.support/winlock
  3. Kaspersky Lab http://sms.kaspersky.ru

Nažalost, nisam uspio pronaći kod za otključavanje; očito je virus nedavno napisan.
Druga stvar koju možete pokušati je ponovno pokrenuti računalo i pri učitavanju pritisnuti F-8, idemo Rješavanje problema, ovo je ako imate instaliran Windows 7; u operativnom sustavu Windows XP idite ravno u siguran način rada s podrškom za naredbeni redak (pročitajte što tamo učiniti u nastavku).

Pozdrav, dragi čitatelji bloga. Dugo sam želio napisati članak o tome kako ukloniti virus ransomware (Winlocker) koji blokira prijavu na vaše računalo.
Najčešće se s ovim problemom susreću neiskusni korisnici koji su pukim slučajem ili svojom nepažnjom postali žrtve prevaranata. Zbog svog neiskustva, mnogi ljudi šalju SMS za deblokiranje bannera s nadom da će dobiti kod i potrošiti puno novca prije nego što postane jasno da je to samo ransomware virus koji je zarazio vaše računalo, protiv kojeg se možete boriti bez ulaganja novca .

Odmah ću reći da ni pod kojim uvjetima ne plaćajte novac prevarantima, sve što je napisano na takvom SMS banneru je čista prijevara. Čak i ako odlučite ići putem manjeg otpora i platit ćete, nije činjenica da će to riješiti vaš problem.

Također, nemojte pribjegavati posljednjem rješenju - nemojte ponovno instalirati sustav. Svaki maliciozni program moguće je ukloniti na jednostavan način i bez posljedica. Ponovna instalacija sustava može dovesti do potpunog brisanja svih potrebnih informacija. Možete ga koristiti samo ako na vašem računalu nema ničeg vrijednog.

Utjecaj ransomwarea na vaš sustav

Winlocker potpuno obustavlja operativni sustav i blokira pristup pokretanju programa i radnoj površini. Ransomware virus blokira pristup upravitelju zadataka i pokreće se odmah nakon što se Windows počne učitavati. Ponekad se dogodi da zlonamjerni program spriječi pokretanje sustava u sigurnom načinu rada; u ovoj situaciji rješavanje problema bit će mnogo teže.

Kada virusni program uđe na uređaj, snima se nekoliko puta na različitim mjestima, što otežava njegovo prepoznavanje, a još manje uklanjanje.

Reći ću vam nekoliko riječi o tome zašto dolazi do ove situacije. Najčešće se pojava ove vrste virusa može primijetiti na onim računalima na kojima nema antivirusne zaštite. Kako biste zaštitili svoj uređaj od zlonamjernog softvera, savjetujem vam da pročitate članak . Također morate shvatiti da na web stranicama morate biti iznimno oprezni i ne klikati na nepoznate poveznice. Još uvijek postoji vrlo velika vjerojatnost zaraze takvom infekcijom nakon preuzimanja i instaliranja programa s neprovjerenog izvora. Kada radite na internetu, ne zaboravite zaštititi svoje računalo; najmanji oprez pomoći će vam da izbjegnete daljnje probleme.

Obavezno održavajte računalo, ažurirajte antivirusni program i povremeno skenirajte svoj uređaj na zlonamjerni softver (automatsko skeniranje možete postaviti na određeni dan i vrijeme). Ako slijedite jednostavna pravila, možete izbjeći infekciju.

Dakle, ako se ipak odlučite sami riješiti ovaj problem, pogledajmo nekoliko opcija kako deblokirati ransomware virus. Počet ćemo s najjednostavnijom metodom i postupno prijeći na složeniju. Ako vam neka od opcija pomaže, držite se nje.

Izvođenje naredbi iz naredbenog retka

Nedavno sam saznao za postojanje najjednostavnije metode, ali ona ne može riješiti problem na svim strojevima.

Prvo što trebamo učiniti je . Ponovno pokrećemo računalo i povremeno pritisnemo tipku F8 tijekom učitavanja. Ako ste sve učinili ispravno, trebali biste vidjeti izbornik dodatnih opcija pokretanja sustava Windows. U ovom izborniku odaberite opciju za pokretanje sustava Siguran način rada s podrškom za naredbeni redak i pritisnite Enter. Nakon učitavanja pojavit će se samo naredbeni redak bez radne površine i prečaca i ikona prisutnih na njoj. Unesite sljedeće naredbe jednu po jednu

  • tim cleanmgr– Alat Cleanmgr.exe dizajniran je za uklanjanje nepotrebnih i zastarjelih datoteka;
  • tim rstrui– naredba za pokretanje oporavka sustava (ova naredba će raditi samo ako je niste onemogućili u postavkama sustava).

Nakon uzastopnog unosa naredbi, ponovno pokrećemo računalo i provjeravamo prisutnost natpisa. Ako nedostaje, onda nam je ova metoda pomogla; ako ne, prijeđite na sljedeću.

Uklanjanje blokatora iz pokretanja

Kao iu prvoj metodi, pokrećemo uređaj i pritisnemo tipku F8 za učitavanje izbornika dodatnih opcija. Zatim odaberite stavku Siguran način i pritisnite Enter. Funkciju Run pokrećemo preko izbornika Start ili istovremenim pritiskom na tipke Ctrl+R i u polju izvršiti unesite naredbu msconfig. Ovo će otvoriti prozor opcija pokretanja sustava Windows. Otvorite karticu Startup i pokušajte pronaći sumnjive programe.

Najčešće se naziv takvih programa sastoji od nasumičnog niza slova. Ako ste pronašli takav program, poništite okvir pokraj njega. Također morate pogledati u kojoj je mapi pohranjeno i izbrisati ga. Prije izvođenja ovih radnji, savjetujem vam da pročitate materijale u članku.

Nakon dovršetka radnji ponovno pokrenite računalo i provjerite je li problem riješen. Ako SMS virus i dalje odbija pristup, prijeđite na sljedeću metodu.

Čišćenje registra od tragova bannera

Ako ste došli do ove točke, a prethodni su pokušaji bili uzaludni, onda bi vam ova metoda trebala pomoći da deblokirate ransomware virus za 98%.

Napominjem da se sve dolje navedene radnje moraju provoditi vrlo pažljivo i strogo prema uputama. Uređivanjem ključeva registra, neispravne radnje mogu uzrokovati nepopravljivu štetu sustavu i ostaje samo ponovno instalirati Windows.

Dakle, pokrenimo sustav u sigurnom načinu rada; gore je opisano kako to učiniti. Čekamo preuzimanje i pokrenemo opciju "Pokreni" u polju prozora koji se otvori, unesite naredbu regedit. Nakon unosa naredbe, pred vama će se otvoriti prozor Registry Editor.

Zatim idite na sljedeću stazu HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

U desnom stupcu moći ćete vidjeti dva parametra Shell i Userinit. Nasuprot ovim parametrima nalazi se stupac vrijednosti. U tim stupcima ne bi trebalo biti ništa suvišno (nasuprot parametru Shell trebala bi stajati vrijednost explorer.exe, nasuprot Userinit vrijednost userinit.exe). Ako tamo postoje dodatne vrijednosti, onda je to rezultat virusa i možete sigurno sve izbrisati.

Također, za olakšanje vaše savjesti, savjetujem vam da odete na sljedeću adresu u postavkama registra ….. \ Microsoft\ Windows\ Trenutna verzija\ Trčanje
 i provjerite ima li nepotrebnih ili nepoznatih programa u desnom polju prozora; ako ih pronađete, izbrišite ih.

Ponovno pokrenite računalo i radujte se što je virus nestao.

Gotovo sam sto posto siguran da će banner koji blokira pokretanje sustava Windows nestati ako se sve učini kako treba. Ali za svaki slučaj, dat ću vam još jedan način za uklanjanje ransomwarea. Naravno, nije tako ozbiljan kao drugi, ali ponekad nije ništa manje učinkovit.

Konvertiranje datuma u Biosu

Kada se sustav podigne, idite u Bios i promijenite datum i vrijeme na tjedan dana unaprijed. Događa se da banner nestane, ali to se događa vrlo rijetko.

Obavezno skenirajte svoje računalo u potrazi za zlonamjernim softverom nakon što ste se uspjeli riješiti Windows blokatora. Mora se izvršiti potpuno skeniranje, a ne brzo. Također morate razmišljati o visokokvalitetnoj zaštiti za svoj uređaj. Ako nemate novca za plaćeni antivirus kao što je, onda možete preuzeti besplatni antivirus tzv.

I posljednji korak bit će provjera vašeg računala za zlonamjernim softverom. Postoji nekoliko besplatnih programa za to, o kojima ću raspravljati u sljedećim člancima svog bloga.

Zaista se nadam da sam vam pomogao otkriti kako ukloniti banner ransomwarea, ali ako imate bilo kakvih pitanja, slobodno ih postavite u komentarima i rado ću vam pokušati pomoći.

Bok svima! Danas sam odlučio napisati članak sa svog računala. Svakim danom sve je više prevaranata na internetu. Zbog toga se povećava opasnost od infekcije računala. Ransomware virusi su sada vrlo česti, blokiraju vašu radnu površinu i iznuđuju novac. Jasno je da nećemo platiti novac za ovo, ali ćemo očistiti računalo od ove infekcije.

Vjerujem da su ransomware banneri znak neodgovornosti i drskosti. Prije nego što uklonimo ovaj virus, pogledajmo odakle je došao, kako bismo bili što bolje naoružani za budućnost. Usput, banneri se pojavljuju različitog sadržaja tako da više paničarite i šaljete novac prevarantima. Mnogi ljudi se izgube i šalju novac, ali to se ne može učiniti! Dakle, odakle dolaze banneri za ransomware?

Piratske aplikacije
Naravno, svi vole gratis, no jeste li ikada razmišljali o tome što je gratis zapravo? Ispada da prilikom preuzimanja piratskih programa, aktivatora, pukotina, tableta riskiramo uhvatiti virusni program na računalu. Svako preuzimanje takvih datoteka može biti kobno i dovesti do loših posljedica. Kako biste izbjegli zarazu, koristite službene programe.

Preuzimanje sa World Wide Weba
Svaki put kada preuzmete bilo koju datoteku, postoji šansa da možete zaraziti svoje računalo. Mnogo je slučajeva kada je osoba preuzela određenu datoteku, a nakon ponovnog pokretanja pojavio se natpis. Stoga preporučujem preuzimanje datoteka bilo koje vrste s pouzdanih ili preporučenih stranica, s kojih tisuće posjetitelja preuzima svaki dan.

Ažuriranje Flash playera
Dok provodite vrijeme na internetu, možda ste negdje vidjeli banner s natpisom “Vaš player je potrebno ažurirati” ili “Vaš player je zastario”. Znajte - to je virus! Naravno, ako ovakav banner ne vodi na Adobe web mjesto.

Opisao sam najčešće razloge zašto virus dospije na vaše računalo. Kako biste smanjili vjerojatnost da zlonamjerni kod dospije na vaše računalo, morate imati novi antivirusni program, ne zaboravite na to! Sada pogledajmo kako ukloniti banner ransomware s osobnog računala. Međutim, još jednom ponavljam - nikada ne šaljite svoj novac ovim prevarantima. Vrlo je važno!!! Čak i ako ga pošaljete, banner neće nikamo otići, a prevaranti će se zahvaljujući vama obogatiti.

Najlakši način je ponovno instalirati operativni sustav. Već sam napisao. Međutim, sve vaše instalirane programe, komponente, antivirusni program i postavke morat ćete ponovo instalirati.

Postoji još jedan način za uklanjanje bannera ransomwarea bez ponovne instalacije operativnog sustava. Razmotrit ćemo to. Prvo što trebate učiniti je ponovno pokrenuti računalo. Dok se Windows učitava, pritisnite gumb F8.

Koristite strelice na tipkovnici za pomicanje kursora i odaberite odjeljak Safe Mode with Command Line Support.

Nakon toga bi se računalo trebalo pokrenuti i vidjet ćete radnu površinu. Zatim kliknite Start i upišite riječ regedit u okvir za pretraživanje Pronađi programe i datoteke.

Nakon unosa i pritiska na Enter otvorit će se Windows registar.

Ovdje morate provjeriti sve odjeljke na prisutnost zlonamjernog koda ili virusa.

Morate provjeriti sljedeće vrijednosti:
Userinit - trebao bi postojati “C:Windowssystem32userinit.exe”
Shell - "explorer.exe"
Za promjenu vrijednosti potrebno je desnom tipkom miša kliknuti liniju i na vrhu odabrati Uredi.

Ovako možete jednostavno ukloniti natpis ransomware sa svog računala. Zadnji korak je ponovno pokretanje računala i uživanje u radnoj površini. To je sve i budite oprezni na internetu!

Nakon ponovnog pokretanja računala, monitor prikazuje zahtjev za slanje plaćenog SMS-a, ili uplatu novca na račun mobilnog telefona?

Upoznajte ovo, ovako izgleda tipičan ransomware virus! Ovaj virus dolazi u tisućama različitih oblika i stotinama varijacija. No, lako ga je prepoznati po jednostavnom znaku: traži da stavite novac (nazovete) na nepoznati broj, a zauzvrat obećava da će vam otključati računalo.Što uraditi?

Prvo, shvatite da je ovo virus čiji je cilj isisati što više novca iz vas. Zato nemojte nasjedati na njegove provokacije.

Zapamtite jednostavnu stvar, ne šaljite nikakav SMS. Oni će povući sav novac koji je na saldu (obično zahtjev kaže 200-300 rubalja). Ponekad traže da pošaljete dva, tri ili više SMS-a. Zapamtite, virus neće nestati s vašeg računala, bez obzira na to šaljete li novac prevarantima ili ne. Trojanac winloc ostat će na vašem računalu dok ga sami ne uklonite.

Akcijski plan je sljedeći: 1. Uklonite blokadu s računala 2. Uklonite virus i liječite računalo.

Načini za otključavanje vašeg računala:

1. Unesite kod za otključavanje I. Najčešći način rješavanja nepristojnog natpisa. Kod možete pronaći ovdje: Dr.web, Kasperskiy, Nod32. Ne brinite ako kôd ne radi, prijeđite na sljedeći korak.

2. Pokušajte se pokrenuti u sigurnom načinu rada. Da biste to učinili, nakon uključivanja računala pritisnite F8. Kada se pojavi prozor s opcijama pokretanja, odaberite "siguran način rada s podrškom za upravljačke programe" i pričekajte da se sustav pokrene.

2a. Sada pokušajmo vratiti sustav(start-standard-system-restore) na raniju kontrolnu točku. 2b. Izraditi novi račun. Idite na Start - Upravljačka ploča - Računi. Dodajte novi račun i ponovno pokrenite računalo. Kada ga uključite, odaberite novostvoreni račun. Prijeđimo na .

3. Pokušajte ctrl+alt+del- trebao bi se pojaviti upravitelj zadataka. Pomoćne programe za liječenje pokrećemo putem upravitelja zadataka. (odaberite datoteku - novi zadatak i naše programe). Drugi način je da držite Ctrl + Shift + Esc i dok držite ove tipke tražite i brišete sve čudne procese dok se desktop ne otključa.

4. Najpouzdaniji način- To znači instaliranje novog OS-a (operativnog sustava). Ako apsolutno trebate zadržati stari OS, tada ćemo razmotriti radno intenzivniji način rješavanja ovog natpisa. Ali ništa manje učinkovito!

Drugi način (za napredne korisnike):

5. Dizanje s diska LiveCD koji ima program za uređivanje registra. Sustav se pokrenuo, otvorite uređivač registra. U njemu ćemo vidjeti registar trenutnog sustava i zaraženog (njegove grane s lijeve strane prikazane su s potpisom u zagradama).

Nalazimo ključ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - tamo tražimo Userinit - brišemo sve iza zareza. PAŽNJA! Sama datoteka “C:\Windows\system32\userinit.exe” NE MOŽE se izbrisati.);

Pogledajte vrijednost ključa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell trebao bi biti explorer.exe. Završili smo s registrom.

Ako se pojavi pogreška "Uređivanje registra je zabranjeno od strane administratora sustava", preuzmite program AVZ. Otvorite "Datoteka" - "Vraćanje sustava" - označite "Otključaj uređivač registra", zatim kliknite "Izvrši odabrane radnje". Urednik je ponovno dostupan.

Pokrećemo Kaspersky alat za uklanjanje i dr.web cureit i skeniramo cijeli sustav s njima. Ostaje samo ponovno podizanje sustava i vraćanje postavki biosa. Međutim, virus još NIJE uklonjen s računala.

Liječenje vašeg računala od trojanskog WinLocka

Za ovo nam je potrebno:
- ReCleaner uređivač registra
- popularan antivirus Kaspersky alat za uklanjanje
- poznati antivirusni lijek Dr.web
- učinkovit antivirusni Removeit pro
- Plstfix uslužni program za popravak registra
- Program za uklanjanje privremenih datoteka ATF cleaner

1. Potrebno je riješiti se virusa u sustavu. Da biste to učinili, pokrenite uređivač registra. Idite na Izbornik - Zadaci - Pokreni uređivač registra. Treba pronaći:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - tamo tražimo odjeljak Userinit - brišemo sve iza zareza. PAŽNJA! Sama datoteka “C:\Windows\system32\userinit.exe” NE MOŽE se izbrisati.);

Pogledajte vrijednost ključa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell tamo bi trebao biti explorer.exe. Završili smo s registrom.

Sada odaberite karticu "Pokretanje". Pregledamo stavke za pokretanje, označimo okvire i izbrišemo (donji desni kut) sve što niste instalirali, ostavljajući samo desktop i ctfmon.exe. Preostali svchost.exe i other.exe procesi iz Windows direktorija moraju biti uklonjeni.
Odaberite Zadatak - Očisti registar - Koristi sve opcije. Program će skenirati cijeli registar i sve trajno izbrisati.

2. Da bismo pronašli sam kod, potrebni su nam sljedeći uslužni programi: Kaspersky, Dr.Web i RemoveIT. Napomena: RemoveIT će od vas tražiti da ažurirate baze virusnih definicija. Potrebno je uspostaviti internetsku vezu dok se ažurira!
Ovim programima skeniramo sistemski disk i brišemo sve što nađu. Ako želite, za svaki slučaj možete provjeriti sve pogone računala. Trajat će mnogo duže, ali je pouzdaniji.

3. Sljedeći uslužni program je Plstfix. Vraća registar nakon naših radnji na njemu. Kao rezultat toga, upravitelj zadataka i sigurni način rada ponovno će početi raditi.

4. Za svaki slučaj izbrišite sve privremene datoteke. Često su kopije virusa skrivene u tim mapama. Ovako ih čak ni dobro poznati antivirusi možda neće otkriti. Bolje je ručno ukloniti sve što neće značajno utjecati na rad sustava. Instalirajte ATF Cleaner, označite sve i obrišite.

5. Ponovno pokrenite sustav. Sve radi! još bolje nego prije :).

mob_info