Hogyan lehet megszabadulni a ransomware bannertől. Hogyan lehet feloldani a Windows blokkolását a ransomware vírus ellen

Hogyan lehet megszabadulni a bannertől

Óriási hálával olvasónknak azért a linkért, amely egy olyan vírusoldalra mutat, ahol a számítógépemet ransomware banner fertőzheti meg, kikapcsoltam a vírusirtómat és némi védelmet, amelyekről alább lesz szó, és követtem ezt a linket. Megnyílt egy oldal, amelyen csak egy gitár körvonalát sikerült meglátnom, szó szerint egy másodperccel később az oldal főoldalába ágyazott víruskód, ami javascript, aktiválódott, és az asztalomat blokkolta egy ransomware banner. még rákattintani sem volt időm semmire (Persze nem adok linket vírusos oldalra, ennek az oldalnak az adminisztrációja, később írtam egy levelet és a vírust eltávolították az oldalról, de általában bármi megtörténhet az életben, egyetlen webhely sem 100%-ban védett a hackelés ellen).

Nos, most egy részletes történet erről hogyan lehet megszabadulni a transzparenstől, ha már elkaptad. A megadott információk az operációs rendszerekhez, Windows Vista, .

Az első dolog, amit meg fogunk tenni, az, hogy felkeressük a vezető víruskereső cégek webhelyeit, amelyek olyan szolgáltatásokat nyújtanak, hogy feloldják számítógépét a zsarolóvírus-szalaghirdetésről.

  1. Dr.Web https://www.drweb.com/xperf/unlocker
  2. NOD32 http://www.esetnod32.ru/.support/winlock
  3. Kaspersky Lab http://sms.kaspersky.ru

Sajnos nem találtam a feloldó kódot, valószínűleg nemrég írták a vírust.
A második dolog, amit megpróbálhat, a számítógép újraindítása, és betöltéskor nyomja meg F-8, menjünk-hoz Hibaelhárítás, ez akkor van így, ha telepítve van a Windows 7; a Windows XP operációs rendszerben lépjen közvetlenül csökkentett módba parancssori támogatással (a teendőket lentebb olvashatja).

Jelenleg a számítógépes korszakban élünk. Ma már minden otthonban és irodában van számítógép, és nem is csak egy. A számítógépeket oktatásra és szórakozásra használják. És ha van internet, akkor fizethet rezsit és banki átutalást. Tényleg nagyon kényelmes, és nagyban megkönnyíti az életünket. És minden rendben lenne, ha bűntények szólnának kiberbűnözés, elrontva a hangulatunkat és könnyítve a pénztárcánkat :-).

Nézzük meg közelebbről, mi ez, és hogyan küzdhetünk ellene.

Elektronikus fizetési rendszerek Webmoney, Qiwi, Yandex pénz és mások – mindannyian használtuk őket, és értékeltük a képességeiket. Némelyikük biztonságosabb, és egy adott számítógépre mutató hivatkozással, SMS-ben történő kettős hitelesítéssel, valamint okostelefonjára vagy táblagépére telepített mobilalkalmazással rendelkezik. Egyesek kevésbé biztonságosak, és a mentett jelszavakat közvetlenül a böngészőben tárolják, ahonnan, ha igazán akarja, átmásolhatja őket, és hozzáférhet fiókjához. Ennek elkerülése érdekében víruskereső programokkal kell védenie számítógépét.

Ezért, Mindig legyen egy vírusirtó program telepítve a számítógépére a legújabb frissítésekkel!


A legtöbb báb számára elegendő az ingyenes Avast víruskereső telepítése. Inkább legalább valamit, mint semmit.

Nézzük meg a helyzetet számítógépen egyáltalán nincs vírusirtó. Mit is jelent ez? Még akkor is, ha két-három órán keresztül internetezik egy eltávolított vagy letiltott víruskeresővel, akkor nagy a valószínűsége annak, hogy rosszindulatú programokat „szedjen fel” az internetről. Milyen célból készültek ezek a programok? A cél pedig egyszerű: a bűnöző, ha emiatt büntetőjogi felelősségre kerül, nem fog vírust terjeszteni, ha nincs ebből jelentős bevétele... A vírusok is. Az utóbbi időben azzal a céllal írták őket, hogy elvegyék a pénzedet. rejtett vagy nyilvánvaló módokon.

trójaiak

Rejtett módszerrel Egy rosszindulatú program, egy úgynevezett trójai telepítve van a számítógépére. Áthatol egy számítógép biztonsági résein, például ha a tűzfal le van tiltva, vagy amikor egy bizonyos webhelycsoporthoz fér hozzá. Leggyakrabban ezek közé tartoznak az erotikus tartalmú webhelyek. Explicit módszerrel hogy pénzt vegyen el, maga utaljon pénzt a számítógép ilyen vagy olyan módon történő feloldásáért a bűnözők számlájára. Sőt, lehet, hogy valójában nem is történik feloldás, mivel a pénz átutalása után a bűnözők egyszerűen nem fognak érdeklődni irántad.

Úgy döntöttem, hogy kockázatos kísérletet hajtok végre). Frissítettem a víruskereső adatbázisomat, és felkerestem egy nyilvánvalóan gyanús webhelyet, hogy megmutassam, hogyan néz ki. Azonnal felajánljuk, hogy töltsünk le egy ismeretlen illesztőprogram-fájlt, még a webkamera modelljének megadása nélkül is.


Az oldal neve látható a képernyőképen, és nem hordoz semmiféle szemantikai jelentést. Valószínűleg ez szándékosan történt, hogy ezt az oldalt név szerint minél több keresőmotor-lekérdezéshez társítsák, nehogy észrevegyék a témák közötti eltérést. Sőt, a képernyőn nagyszámú embert látunk, akik letöltötték, és állítólag megköszönték nekik.

Átverési oldalak

Kereséskor nagyon gyakran találkozunk olyan fórumoldalak utánzatával, amelyeknek nem egyértelmű a neve, és felajánlják a szükséges fájl letöltését. Ezután jön egy kérdés a „felhasználótól”: SMS-t kérnek a fájl letöltéséhez. Boldogan elmagyarázzák neki, hogy ez védelem a botoktól, mindent ellenőriztek, ne aggódjon



Természetesen a kifizetettnek bizonyult SMS elküldése után a számlájáról egy jó összeget vonnak le szórakoztatási vagy információs szolgáltatások nyújtásának gyér ürügyén.

Ezenkívül soha ne telepítsen különféle eszköztárakat a számítógépére, annak ellenére, hogy a telepítés minden előnye, amelyet speciálisan megbízott, tapasztalt szerzők színesen leírnak Önnek:


Jobb, ha tartózkodunk az oldalak látogatásától, ha ezt a figyelmeztetést látjuk:


Bár lehetséges - ez csak a Yandex programozói viszontbiztosítás. Ez vonatkozik a nem ellenőrzött forrásokból származó különféle bővítményekre is. Ennek leple alatt gyakran mindenféle vírus rejtőzik.

Bannerek

Nézzük meg, hogyan fertőződik meg egy olyan számítógép, amelyre telepítve van egy vírusirtó, de nem a legfrissebb adatbázisokkal és tűzfallal?

A tapasztalatlan felhasználó leggyakrabban rosszindulatú szoftvert tölt le számítógépére anélkül, hogy tudná. Bármilyennek álcázható, például segédprogramnak vagy meghajtónak, önkicsomagoló archívumával *.exe kiterjesztéssel, vagy akár, mint a főnökömnél történt, fontos levélnek, állítólag egy választottbíróságtól. Így néz ki az egyik lehetséges ransomware szalaghirdetés, amely megjelenhet az asztalon:


Az üzletembereknek gyakran sok problémájuk van. Az eszüket vesztve azonnal letöltik a mellékletet az e-mailből, és megnyitják. Sőt, ebben az esetben a fájl neve „Letter”. És még az ikon is boríték formájában volt. A számítógépes területen kevéssé képzett emberek számára ez sajnos elég. Ez a nem szabványos fájlkiterjesztés és annak ikonja figyelmeztet minket, tapasztaltabb felhasználókat.


Ezt követően egy Watnik 91 nevű banner jelent meg az asztalon


Nem világos, hogy kit akartak így félrevezetni, nyilván csak erre volt képes a fantáziájuk.

Tehát ezen a szalaghirdetésen olyan szöveg volt, amely szerint az összes DOC, PDF, XLS, JPEG kiterjesztésű fájlja és esetleg néhány más is titkosítva van. Sikerült visszafejtenünk őket, de csak két hét levelezés és titkosított fájlok mintáinak elküldése után egy speciális oldalra, ahol segítséget nyújtanak a segítőknek.

Banner eltávolítása AntiSMS használatával

Korábban találkoztam már ransomware bannerekkel. Erre az esetre van egy Anti SMS nevű indítólemezem, amelyet kifejezetten a ransomware bannerek elleni küzdelemre hoztak létre. Nagyon könnyű vele dolgozni. Elegendő többször megnyomni a BIOS gombot a számítógép indítása utáni első 5 másodpercben. Az alaplapok különböző verzióinál ezek különböző billentyűk, például Delete, F2, F11 és mások, nézze meg a képernyőn megjelenő utasításokat közvetlenül a számítógép elindítása után.



Miután az operációs rendszer (operációs rendszer) lecsupaszított verziója betöltődött a számítógép RAM-jába, csak egy gomb-ikont kell megnyomnunk a monitor képernyőjén, és várni kell a számítógép megtisztításáról szóló üzenetre. A rendszer törli annak a számítógépnek az automatikus indítását, amelyen a vírus regisztrálja magát. A számítógép újraindítása után látni fogjuk, hogy a ransomware szalaghirdetés eltűnt.


Indítólemez vagy flash

Mi a teendő, ha a számítógép fertőzött, a képernyőn egy hasonló banner látható, amely blokkolja az internet-hozzáférést és a számítógép működését, és nincs ilyen lemeze? Nos, kiderült, hogy nem vagytok felkészülve az események ilyen fordulatára!?

Ezután indíthat egy Linux Live Cd lemezről, például Ubunturól vagy Runturól, az Etherneten keresztüli internet-hozzáférés alapértelmezett támogatásával. Aki értesül, az meg fogja érteni


Ezután töltse le a segédprogramot Dr web CureIt pendrive-ra


Vagy jelentkezzen be, és hajtsa végre ezeket a műveleteket egy másik számítógépről. Ez a segédprogram lehetővé teszi, hogy megtisztítsa számítógépét a vírusoktól, miután csökkentett módban elindította a Windows rendszert. Ehhez a segédprogramot flash meghajtóra kell írnia, és a Windows csökkentett módban való betöltése után futtassa ezt a segédprogramot a flash meghajtóról.


Ez a segédprogram teljesen ingyenes, és az adatbázis legújabb verzióit tartalmazza.

Remélem, hogy a cikk elolvasása után számítógépe megbízhatóan védett lesz. És ha egy zsarolóvírus-szalaghirdetés megjelenik az asztalon, gyorsan és függetlenül eltávolíthatja azt.

A számítógép újraindítása után a monitoron megjelenik egy kérés, hogy küldjön egy fizetett SMS-t, vagy helyezzen be pénzt mobiltelefon-számlára?

Ismerje meg, így néz ki egy tipikus ransomware vírus! Ez a vírus több ezer különböző formában és több száz változatban létezik. Egy egyszerű jelről azonban könnyen felismerhető: egy ismeretlen számra kér pénzt (hívást), cserébe megígéri, hogy feloldja a számítógépét. Mit kell tenni?

Először is vedd észre, hogy ez egy vírus, aminek az a célja, hogy minél több pénzt szívjon ki belőled. Éppen ezért ne engedjen provokációinak.

Ne felejtsen el egy egyszerű dolgot, ne küldjön SMS-t. Kivonják az egyenlegen lévő összes pénzt (általában a kérésben 200-300 rubel szerepel). Néha két, három vagy több SMS küldésére van szükség. Ne feledje, a vírus nem fog eltűnni a számítógépéről, akár küld pénzt csalóknak, akár nem. A trójai winloc a számítógépén marad mindaddig, amíg el nem távolítja.

A cselekvési terv a következő: 1. Távolítsa el a blokkot a számítógépről 2. Távolítsa el a vírust és kezelje a számítógépet.

A számítógép feloldásának módjai:

1. Írja be a feloldó kódotÉs. Az obszcén transzparens kezelésének leggyakoribb módja. A kódot itt találja: Dr.web, Kasperskiy, Nod32. Ne aggódjon, ha a kód nem működik, folytassa a következő lépéssel.

2. Próbálja meg csökkentett módba indítani. Ehhez a számítógép bekapcsolása után nyomja meg az F8 billentyűt. Amikor megjelenik a rendszerindítási beállítások ablak, válassza ki a „csökkentett mód illesztőprogram-támogatással” lehetőséget, és várja meg, amíg a rendszer elindul.

2a. Most próbáljuk meg állítsa vissza a rendszert(start-standard-system-restore) egy korábbi ellenőrzőpontra. 2b. Új felhasználó létrehozása. Lépjen a Start - Vezérlőpult - Fiókok menüpontra. Adjon hozzá egy új fiókot, és indítsa újra a számítógépet. Amikor bekapcsolja, válassza ki az újonnan létrehozott fiókot. Térjünk tovább a .

3. Próbáld ki a ctrl+alt+del parancsot- meg kell jelennie a feladatkezelőnek. A gyógyító segédprogramokat a feladatkezelőn keresztül indítjuk el. (válassza ki a fájlt - egy új feladat és a programjaink). Egy másik módszer az, hogy lenyomva tartja a Ctrl + Shift + Esc billentyűket, és miközben lenyomva tartja ezeket a billentyűket, keressen és töröljön minden furcsa folyamatot, amíg az asztal fel nem oldódik.

4. A legmegbízhatóbb módja- Ez új operációs rendszer (operációs rendszer) telepítését jelenti. Ha feltétlenül meg kell tartania a régi operációs rendszert, akkor megvizsgálunk egy munkaigényesebb módszert ennek a szalaghirdetésnek a kezelésére. De nem kevésbé hatékony!

Egy másik módszer (haladó felhasználók számára):

5. Indítás lemezről LiveCD amelyen van egy rendszerleíró adatbázis szerkesztő program. A rendszer elindult, nyissa meg a rendszerleíróadatbázis-szerkesztőt. Ebben látni fogjuk az aktuális és a fertőzött rendszer nyilvántartását (bal oldali ágai zárójelben aláírással jelennek meg).

Megtaláljuk a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon kulcsot - ott keressük a Userinit-et - a vessző után mindent törölünk. FIGYELEM! Maga a fájl „C:\Windows\system32\userinit.exe” NEM törölhető.);

Nézze meg a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell kulcs értékét, hogy explorer.exe legyen. Elkészültünk a nyilvántartással.

Ha megjelenik a „A rendszerleíró adatbázis szerkesztését a rendszergazda tiltja” hibaüzenet, töltse le az AVZ programot. Nyissa meg a "Fájl" - "Rendszer-visszaállítás" elemet - Jelölje be a "Regisztr.szerkesztő feloldása" lehetőséget, majd kattintson a "Kijelölt műveletek végrehajtása" gombra. A szerkesztő újra elérhető.

Elindítjuk a Kaspersky eltávolító eszközt és a dr.web cureit-et, és átvizsgáljuk velük a teljes rendszert. Már csak az újraindítás és a bios beállítások visszaadása van hátra. A vírust azonban még NEM távolították el a számítógépről.

A számítógép kezelése a trójai WinLock segítségével

Ehhez szükségünk van:
- ReCleaner rendszerleíró adatbázis szerkesztő
- népszerű víruskereső Szerszám eltávolítása Kaspersky
- híres vírusirtó Dr.web cureit
- hatékony vírusirtó Removeit pro
- Plstfix beállításjegyzék-javító segédprogram
- Program ideiglenes fájlok eltávolítására ATF Cleaner

1. Meg kell szabadulni a vírustól a rendszerben. Ehhez indítsa el a rendszerleíróadatbázis-szerkesztőt. Menjen a Menü - Feladatok - Indítsa el a Rendszerleíróadatbázis-szerkesztőt. Meg kell találni:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - ott keressük a Userinit részt - a vessző után mindent törölünk. FIGYELEM! Maga a fájl „C:\Windows\system32\userinit.exe” NEM törölhető.);

Nézd meg a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell kulcs értékét, ott explorer.exe fájlnak kell lennie. Elkészültünk a nyilvántartással.

Most válassza az "Indítás" fület. Átnézzük az indítási elemeket, bejelöljük a jelölőnégyzeteket, és töröljük (jobb alsó sarokban) mindazt, amit nem telepített, így csak a desktop és a ctfmon.exe marad. A fennmaradó svchost.exe és other.exe folyamatokat el kell távolítani a Windows könyvtárból.
Válassza a Feladat - Rendszerleíró adatbázis törlése - Az összes lehetőséget. A program átvizsgálja a teljes rendszerleíró adatbázist, és mindent véglegesen töröl.

2. Magának a kódnak a megtalálásához a következő segédprogramokra van szükségünk: Kaspersky, Dr.Web és RemoveIT. Megjegyzés: A RemoveIT felkéri a vírusszignatúra adatbázisok frissítésére. Frissítés közben internetkapcsolatot kell létrehozni!
Ezekkel a programokkal átvizsgáljuk a rendszerlemezt, és mindent törölünk, amit találnak. Ha szeretné, minden esetre ellenőrizheti a számítógép összes meghajtóját. Sokkal tovább tart, de megbízhatóbb.

3. A következő segédprogram a Plstfix. Visszaállítja a rendszerleíró adatbázist a rajta végzett műveleteink után. Ennek eredményeként a feladatkezelő és a csökkentett mód újra működni kezd.

4. Minden esetre törölje az összes ideiglenes fájlt. Ezekben a mappákban gyakran el vannak rejtve a vírus másolatai. Így előfordulhat, hogy még a jól ismert antivírusok sem észlelik őket. Jobb kézzel eltávolítani mindent, ami nem befolyásolja jelentősen a rendszer működését. Telepítse az ATF Cleanert, jelöljön meg mindent, és törölje.

5. Indítsa újra a rendszert. Minden működik! még jobban, mint eddig :).

Ma arról szeretnék beszélni SMS-zsarolásinterneten és számítógépen keresztül . Vagyis olyan esetek, amikor a számítógép bizonyos oldalak meglátogatása után megfertőződik olyan bannerekkel, amelyek teljesen vagy részben blokkolják a rendszer működését. A tiltás feloldásához üzenetet kell küldenie egy rövid számra.

Először is nézzük meg, milyen típusú ransomware bannerek léteznek. NAK NEK első típus olyan szalaghirdetéseket tartalmaznak, amelyek csak az internetböngészők indításakor jelennek meg (Internet Explorer, Opera, Mozilla Firefox, Google Chrome stb.). Ezeket a transzparenseket is hívják besúgók .

Második típus A bannerek az asztalon helyezkednek el, és a legtöbbet elfoglalják anélkül, hogy akadályoznák más programok indítását, lehetővé téve a főmenü, a Feladatkezelő stb. megnyitását.

Harmadik típus a transzparensek a legundorítóbbak. Teljesen blokkolja a számítógép működését, ezért SMS-t kell küldenie egy rövid számra. Válaszul egy feloldó kódot ígérnek. Még csökkentett módban sem lehet normálisan bejelentkezni a rendszerbe. Egy dolgot ne felejts el: soha ne küldj SMS-t a megadott számokra! Ez színtiszta csalás, amely a Btk. vonatkozó cikkelyei alá tartozik. Soha egyetlen felhasználó sem kapott válasz SMS-t banner feloldó kóddal.

Tehát senki sem tudja, hogyan, de a szalaghirdetés a számítógépére került. Akár azután történt, hogy rákattintott az e-mailben található linkre, vagy egyszerűen letöltött valamit – számos lehetőség közül választhat. Mi a teendő ebben az esetben? Először is el kell döntenie, hogy milyen típusú ransomware banner található a számítógépén. Ha a böngészővel együtt bezárul, ez az első típus; ha elindul a Feladatkezelő, Jegyzettömb, Word vagy bármilyen más alkalmazás, akkor ez a második típus, ha semmi sem segít, és a banner lefagy, akkor ez a harmadik.

Az első típusú zsarolóvírus eltávolításához alaposan át kell tekintenie a böngésző összes beállítását, és el kell távolítania az összes olyan beépülő modult, kiegészítőt és bővítményt, amelyet nem telepített. Ugyanezt tesszük a JavaScript kisalkalmazások és DLL-ek esetében is.

A második típusú SMS ransomware-t nem olyan egyszerű kitisztítani a rendszerből, de ez is lehetséges. Az első módszer egy víruskereső cég webhelyének felkeresése. Minden többé-kevésbé nagy cég már régen közzétett hivatalos webhelyén információkat arról, hogyan lehet eltávolítani a ransomware bannert „legális” módszerekkel. A weboldalon olyan információkat kell találnia, amelyek kifejezetten arra a rövid számra vonatkoznak, amelyre SMS-t kell küldenie. Ott, a webhelyen, egy feloldó kódot is megadnak, és ez teljesen ingyenes. A feloldás után frissítse a telepített víruskereső víruskereső aláírási adatbázisait, és futtassa le a teljes számítógép teljes vizsgálatát. Kíméletlenül távolítson el minden talált fertőzést. Ha nincs telepítve vírusirtó, akkor töltse le az ingyenes CureIt segédprogramot a Dr.Web webhelyről, és ellenőrizze vele számítógépét. Az ellenőrzés után tisztítsa meg a rendszerleíró adatbázist egy speciális segédprogrammal - rendszerleíró adatbázis tisztítóval, vagy végezze el manuálisan, ha természetesen megérti ezt.

Ha a harmadik típusú zsarolóvírus-szalaggal rendelkezik, akkor nem nélkülözheti LiveCD lemezt, vagy anélkül, hogy eltávolítaná a merevlemezt és ne csatlakoztatná egy másik számítógéphez. Az eljárás a következő: indítsa el a rendszert a lemezről, indítsa el a CureIt, ellenőrizze a számítógépet, hogy nem fertőzött-e, és töröljön mindent, amit talált. Ismét futtassa a rendszerleíró adatbázis tisztítót, és törölje a rosszindulatú programokhoz kapcsolódó kulcsokat. Ha nincs LiveCD-je, akkor csatlakoztassa merevlemezét egy másik számítógéphez, és futtassa rajta a víruskeresőt, miután természetesen korábban frissítette a vírusadatbázisokat. Ezt követően újraindítjuk és élvezzük az életet.

Bizonyára minden negyedik személyi számítógép-felhasználó találkozott már különféle csalásokkal az interneten. A megtévesztés egyik fajtája a banner, amely blokkolja a Windows működését, és SMS-t ír elő egy fizetett számra, vagy kriptovalutát követel. Lényegében ez csak egy vírus.

A banner ransomware elleni küzdelemhez meg kell értened, mi az, és hogyan hatol be a számítógépedbe. Egy banner általában így néz ki:

De lehet mindenféle más variáció, de a lényeg ugyanaz – a csalók pénzt akarnak keresni tőled.

A vírus bejutásának módjai a számítógépbe

A „fertőzés” első lehetősége a kalóz alkalmazások, segédprogramok és játékok. Természetesen az internetezők megszokták, hogy a legtöbbet „ingyen” online kapják meg, amit akarnak, de ha gyanús oldalakról töltenek le kalózszoftvert, játékokat, különféle aktivátorokat és egyéb dolgokat, fennáll a veszélye annak, hogy megfertőződnek a vírusokkal. Ebben a helyzetben általában segít.

Előfordulhat, hogy a Windows blokkolva van a " kiterjesztésű letöltött fájl miatt .alkalmazás" Ez nem jelenti azt, hogy meg kell tagadnia az ezzel a kiterjesztéssel rendelkező fájlok letöltését. Csak emlékezz arra" .alkalmazás"csak játékokra és programokra vonatkozhat. Ha letölt egy videót, dalt, dokumentumot vagy képet, és a nevének végén „.exe” van, akkor a ransomware banner megjelenésének esélye meredeken 99,999%-ra nő!

Van egy trükkös trükk is, amely állítólag frissíteni kell a Flash-lejátszót vagy a böngészőt. Előfordulhat, hogy az interneten dolgozol, oldalról oldalra lépkedsz, és egy nap találsz egy feliratot, hogy „a Flash lejátszód elavult, frissítsd”. Ha erre a bannerre kattint, és nem vezet a hivatalos adobe.com weboldalra, akkor az 100%-ban vírus. Ezért ellenőrizze, mielőtt a „Frissítés” gombra kattint. A legjobb megoldás az ilyen üzenetek figyelmen kívül hagyása.

Végül az elavult Windows-frissítések gyengítik a rendszer biztonságát. A számítógép védelme érdekében próbálja meg időben telepíteni a frissítéseket. Ez a funkció itt konfigurálható "Vezérlőpultok -> Windows Update" automata módba, hogy ne zavarják el.

A Windows 7/8/10 feloldása

A ransomware banner eltávolításának egyik egyszerű módja az. 100%-ban segít, de érdemes újratelepíteni a Windows-t, ha nincsenek olyan fontos adatok a „C” meghajtón, amelyeket nem volt ideje menteni. A rendszer újratelepítésekor az összes fájl törlődik a rendszerlemezről. Ezért, ha nem akarsz szoftvereket és játékokat újratelepíteni, akkor más módszereket is használhat.

A ransomware banner nélküli kezelés és a rendszer sikeres elindítása után további lépéseket kell tennie, különben a vírus újra felszínre kerülhet, vagy egyszerűen csak problémák lesznek a rendszer működésében. Mindez a cikk végén található. Minden információt személyesen ellenőriztem! Szóval, kezdjük!

A Kaspersky Rescue Disk + WindowsUnlocker segít nekünk!

Speciálisan kifejlesztett operációs rendszert fogunk használni. Az egész nehézség az, hogy le kell töltened a képet a munkahelyi számítógépedre és vagy (lapozd végig a cikkeket, ott van).

Ha ez készen van, akkor kell. Az indítás pillanatában egy kis üzenet jelenik meg, például: „Nyomja meg bármelyik gombot CD-ről vagy DVD-ről való rendszerindításhoz”. Itt meg kell nyomnia bármelyik gombot a billentyűzeten, különben a fertőzött Windows elindul.

Betöltéskor nyomja meg bármelyik gombot, majd válassza ki a nyelvet – „orosz”, fogadja el a licencszerződést az „1” gombbal, és használja az indítási módot – „Grafika”. A Kaspersky operációs rendszer elindítása után nem figyelünk az automatikusan induló szkennerre, hanem menjünk a „Start” menübe, és indítsuk el a „Terminált”


Megnyílik egy fekete ablak, ahová a következő parancsot írjuk:

ablaknyitó

Megnyílik egy kis menü:


Válassza a „Windows feloldása” lehetőséget az „1” gombbal. A program maga mindent ellenőriz és javít. Most bezárhatja az ablakot, és ellenőrizheti a teljes számítógépet, miközben a szkenner már fut. Az ablakban jelölje be a Windows operációs rendszerrel rendelkező lemezt, és kattintson az „Objektumvizsgálat futtatása” gombra.


Megvárjuk az ellenőrzés befejezését (hosszú ideig tarthat), és végül újraindítjuk.

Ha van egy laptopja egér nélkül, és az érintőpad nem működik, akkor azt javaslom, hogy használja a Kaspersky lemez szöveges módját. Ebben az esetben az operációs rendszer elindítása után először be kell zárni az „F10” gombbal megnyíló menüt, majd a parancssorba be kell írni ugyanazt a parancsot: windowsunlocker

Feloldás csökkentett módban, speciális képek nélkül

Manapság az olyan vírusok, mint a Winlocker, okosabbak lettek, és megakadályozzák a Windows csökkentett módban történő betöltését, így valószínűleg nem fog sikerülni, de ha nincs kép, akkor próbálja meg. A vírusok különbözőek, és mindenkinél különböző módszerek működhetnek, de az elv ugyanaz.

Indítsa újra a számítógépet. Rendszerindítás közben le kell nyomnia az F8 billentyűt, amíg meg nem jelenik a Windows Advanced Startup Options menü. A lefelé mutató nyilak segítségével ki kell választanunk a listából egy nevű elemet "Csökkentett mód parancssori támogatással".

Ide kell mennünk, és ki kell választanunk a kívánt sort:

Ezután, ha minden jól megy, a számítógép elindul, és látni fogjuk az asztalt. Nagy! De ez nem jelenti azt, hogy most minden működik. Ha nem távolítja el a vírust, és csak normál módban indítja újra, a szalaghirdetés újra felugrik!

Windows rendszerrel kezeljük

Vissza kell állítania a rendszert, amikor a blokkoló szalaghirdetés még nem létezett. Olvassa el figyelmesen a cikket, és tegyen meg mindent, ami ott le van írva. A cikk alatt van egy videó.

Ha ez nem segít, nyomja meg a „Win + R” gombokat, és írja be a parancsot az ablakba a beállításszerkesztő megnyitásához:

regedit

Ha az asztal helyett fekete parancssor indul, akkor egyszerűen írja be a „regedit” parancsot, és nyomja meg az „Enter” billentyűt. Ellenőriznünk kell a rendszerleíró adatbázis egyes szakaszait vírusok, pontosabban rosszindulatú kódok jelenlétére. A művelet elindításához lépjen a következő útvonalra:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

Most ellenőrizzük a következő értékeket sorrendben:

  • Shell – ide kell írni az „explorer.exe”-t, nincs más lehetőség
  • Userinit – itt a szövegnek a következőnek kell lennie: „C:\Windows\system32\userinit.exe”,

Ha az operációs rendszer a C:-től eltérő meghajtóra van telepítve, akkor az ott lévő betű más lesz. A helytelen értékek módosításához kattintson a jobb gombbal a szerkeszteni kívánt sorra, és válassza a „szerkesztés” lehetőséget:

Ezután ellenőrizzük:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Egyáltalán nem lehet itt Shell és Userinit kulcs; ha vannak, törölje azokat.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

És ügyeljen arra is, hogy:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Ha nem biztos abban, hogy törölnie kell-e a kulcsot, először egyszerűen hozzáadhat egy „1”-et a paraméterhez. Az elérési út helytelen lesz, és a program egyszerűen nem indul el. Utána vissza tudod állítani, ahogy volt.

Most le kell futtatnia a beépített rendszertisztító segédprogramot, ugyanúgy csináljuk, mint ahogy elindítottuk a „regedit” rendszerleíró adatbázis-szerkesztőt, de ezt írjuk:

cleanmgr

Válassza ki az operációs rendszerrel rendelkező meghajtót (C: alapértelmezés szerint), és a vizsgálat után jelölje be az összes négyzetet, kivéve a „Csomag biztonsági mentési fájlok frissítése” lehetőséget.

És kattintson az „OK” gombra. Lehetséges, hogy ezzel a művelettel letiltottuk a vírus automatikus futtatását, majd meg kell tisztítanunk a jelenlétének nyomait a rendszerben, erről a cikk végén olvashat.

AVZ segédprogram

Az ötlet az, hogy csökkentett módban elindítjuk a jól ismert AVZ víruskereső segédprogramot. A víruskeresésen kívül a programnak csak számos funkciója van a rendszerhibák kijavítására. Ez a módszer megismétli a rendszerben lévő lyukak bezárásának lépéseit a vírus működése után, beleértve a vírus működését. Ahhoz, hogy megismerkedjen vele, lépjen tovább a következő pontra.

Problémák javítása a zsarolóprogramok eltávolítása után

Gratulálunk! Ha ezt olvassa, az azt jelenti, hogy a rendszer banner nélkül indult el. Most ellenőrizniük kell az egész rendszert. Ha a Kaspersky mentőlemezt használta, és ott bejelölte, akkor ezt a pontot kihagyhatja.

A gazember tevékenységéhez még egy probléma is társulhat: a vírus képes titkosítani a fájlokat. És még a teljes törlés után sem fogja tudni használni a fájljait. A visszafejtéshez a Kaspersky webhelyéről származó programokat kell használnia: XoristDecryptor és RectorDecryptor. Ott vannak használati utasítások is.

De ez még nem minden, mert... Winlocker nagy valószínűséggel piszkos trükköt játszott a rendszerrel, és különféle hibák és problémák lesznek megfigyelhetők. Például a Rendszerleíróadatbázis-szerkesztő és a Feladatkezelő nem indul el. A rendszer kezelésére az AVZ programot fogjuk használni.

Probléma adódhat a Google Chrome használatával történő letöltéskor, mert... Ez a böngésző rosszindulatúnak tekinti a programot, és nem engedi letölteni! Ez a kérdés már felvetődött a hivatalos Google fórumon, és a cikk írásakor minden ez már normális.

Ahhoz, hogy továbbra is letöltse az archívumot a programmal, a „Letöltések” menüben kell kattintania a „Rosszindulatú fájl letöltése” lehetőségre :) Igen, megértem, hogy ez egy kicsit hülyén néz ki, de úgy tűnik, a Chrome úgy gondolja, hogy a program árthat az átlagos felhasználónak. . És ez igaz, ha bárhova kibököd! Ezért szigorúan betartjuk az utasításokat!

A programmal együtt kicsomagoljuk az archívumot, külső adathordozóra írjuk és lefuttatjuk a fertőzött gépen. Menjünk a menühöz "Fájl -> Rendszer-visszaállítás", jelölje be a négyzeteket a képen látható módon, és hajtsa végre a következő műveleteket:

Most a következő utat követjük: "Fájl -> Hibaelhárító varázsló", majd menjen ide "Rendszer problémák -> Minden probléma"és kattintson a „Start” gombra. A program átvizsgálja a rendszert, majd a megjelenő ablakban jelölje be az összes jelölőnégyzetet, kivéve az „Operációs rendszer automatikus frissítéseinek letiltása” és az „Automatikus futtatás engedélyezése innen” kifejezéssel kezdődő négyzetet.

Kattintson a „Megjegyzett problémák javítása” gombra. A sikeres befejezés után lépjen a következő helyre: "A böngésző beállításai és módosításai -> Minden probléma", itt bejelöljük az összes négyzetet, és ugyanúgy rákattintunk a „Megjelölt problémák javítása” gombra.

Ugyanezt tesszük az „Adatvédelem”-nél is, de itt ne jelölje be azokat a jelölőnégyzeteket, amelyek felelősek a böngészők könyvjelzőinek törléséért és bármi másért, amit szükségesnek tart. Végezzük az ellenőrzést a „Rendszertisztítás” és „Reklámprogramok/Eszköztár/Böngésző-eltérítő eltávolítása” részben.

Végül zárja be az ablakot anélkül, hogy elhagyná az AVZ-t. A programban találjuk "Eszközök -> Explorer bővítményszerkesztő"és törölje a feketével jelölt elemek jelölését. Most menjünk tovább: "Eszközök -> Internet Explorer Extension Manager"és teljesen törölje az összes sort a megjelenő ablakban.

Fentebb már mondtam, hogy a cikknek ez a része is az egyik módja annak, hogy meggyógyítsuk a Windowst a banner ransomware ellen. Tehát ebben az esetben le kell töltenie a programot a munkahelyi számítógépére, majd ki kell írnia egy flash meghajtóra vagy lemezre. Minden műveletet biztonságos módban hajtunk végre. De van egy másik lehetőség az AVZ elindítására, még akkor is, ha a csökkentett mód nem működik. Ugyanabból a menüből kell indítania a rendszer indításakor, a „Számítógép hibaelhárítása” módban

Ha telepítve van, akkor a menü legtetején fog megjelenni. Ha nincs ott, indítsa el a Windowst, amíg meg nem jelenik a szalaghirdetés, majd húzza ki a számítógépet. Ezután kapcsolja be – új indítási mód kínálkozhat.

A Windows telepítőlemezéről fut

Egy másik biztos módszer, ha bármelyik Windows 7-10 telepítőlemezről indítod a rendszert, és ott nem az "Install"-t választod, hanem "Rendszer-visszaállítás". Amikor a hibaelhárító fut:

  • Ott ki kell választania a „Command Line” elemet
  • A megjelenő fekete ablakba írja be: „notepad”, azaz. indítson el egy szokásos jegyzettömböt. Mini karmesterként fogjuk használni
  • Lépjen a „Fájl -> Megnyitás” menübe, válassza ki a „Minden fájl” fájltípust.
  • Ezután keresse meg az AVZ programmal rendelkező mappát, kattintson jobb gombbal az indítandó fájlra „avz.exe”, és indítsa el a segédprogramot a „Megnyitás” menüpont segítségével (nem a „Kiválasztás” elemmel!).

Ha minden más nem sikerül

Azokra az esetekre utal, amikor valamilyen oknál fogva nem tud elindulni egy rögzített Kaspersky-képpel vagy az AVZ programmal rendelkező flash meghajtóról. Mindössze annyit kell tennie, hogy eltávolítja a merevlemezt a számítógépből, és második meghajtóként csatlakoztatja a munkahelyi számítógépéhez. Ezután indítsa el a rendszert egy NEM FERTŐZETT merevlemezről, és vizsgálja meg AZ ÖN meghajtóját egy Kaspersky szkennerrel.

Soha ne küldjön olyan SMS-t, amelyet a csalók kérnek. Bármi legyen is a szöveg, ne küldj üzenetet! Próbálja meg elkerülni a gyanús webhelyeket és fájlokat, és általában olvassa el. Kövesse az utasításokat, és számítógépe biztonságban lesz. És ne feledkezzünk meg a vírusirtóról és az operációs rendszer rendszeres frissítéseiről sem!

Itt van egy videó, ahol mindent láthatsz egy példával. A lejátszási lista három leckéből áll:

PS: melyik módszer segített? Írjon róla az alábbi megjegyzésekben.

mob_info