Come sbarazzarsi del banner ransomware. Come sbloccare Windows dal virus ransomware
Come sbarazzarsi di un banner
Con un enorme senso di gratitudine verso il nostro lettore per questo collegamento a un sito di virus in cui il mio computer potrebbe essere infettato da un banner ransomware, ho disattivato il mio antivirus e alcune protezioni, di cui parleremo di seguito, e ho seguito questo collegamento. Si è aperto un sito in cui sono riuscito a vedere solo la sagoma di una chitarra, letteralmente un secondo dopo, è stato attivato il codice virale incorporato nella pagina principale di questo sito, che è javascript, e il mio desktop è stato bloccato da un banner ransomware, ho non ho nemmeno avuto il tempo di fare clic su nulla (ovviamente non ti darò un collegamento a un sito con un virus, l'amministrazione di questo sito, in seguito ho scritto una lettera e il virus è stato rimosso dal sito, ma in generale, tutto può succedere nella vita, nessun sito è immune al 100% dall'hacking).
Bene, ora una storia dettagliata su come sbarazzarsi di un banner, se lo hai già catturato. Le informazioni fornite sono adatte per i sistemi operativi Windows Vista, .
La prima cosa che faremo è visitare i siti Web delle principali società di antivirus che forniscono servizi per sbloccare il tuo computer dal banner ransomware.
- Dr.Web https://www.drweb.com/xperf/unlocker
- NOD32 http://www.esetnod32.ru/.support/winlock
- Kaspersky Lab http://sms.kaspersky.ru
Purtroppo non sono riuscito a trovare il codice di sblocco; a quanto pare il virus è stato scritto di recente.
La seconda cosa che puoi provare è riavviare il computer e durante il caricamento premere F-8, andiamo a Risoluzione dei problemi, questo se hai installato Windows 7; nel sistema operativo Windows XP, vai direttamente in modalità provvisoria con supporto da riga di comando (leggi cosa fare lì sotto).
Attualmente viviamo nell’era dei computer. Ormai c'è un computer in ogni casa e in ogni ufficio, e nemmeno in uno solo. I computer vengono utilizzati per l’istruzione e l’intrattenimento. E se hai internet puoi pagare le utenze ed effettuare un bonifico. È davvero molto conveniente e ci rende la vita molto più semplice. E tutto andrebbe bene se i crimini chiamassero crimine informatico, rovinandoci l'umore e alleggerendo il portafoglio :-).
Vediamo più da vicino di cosa si tratta e come possiamo combatterlo.
Sistemi di pagamento elettronici Webmoney, Qiwi, Yandex Money e altri: li abbiamo usati tutti e ne abbiamo apprezzato le capacità. Alcuni di essi sono più sicuri e sono collegati a un computer specifico, doppia autenticazione tramite SMS e un'applicazione mobile installata sul tuo smartphone o tablet. Alcuni sono meno sicuri e memorizzano le password salvate direttamente nel browser, da dove, se proprio lo desideri, potrai copiarle e accedere al tuo account. Per evitare che ciò accada, è necessario proteggere il computer utilizzando programmi antivirus.
Ecco perché, Dovresti sempre avere un programma antivirus installato sul tuo computer con gli ultimi aggiornamenti!
Per la maggior parte dei principianti sarà sufficiente installare l'antivirus Avast gratuito. Almeno qualcosa piuttosto che niente.
Diamo un'occhiata alla situazione quando siamo al computer nessun antivirus. Cosa significa questo? Anche utilizzare Internet per due o tre ore con un antivirus disinstallato o disabilitato avrà un'alta probabilità di "prendere" malware da Internet. Per quale scopo sono scritti questi programmi? E l'obiettivo è semplice: un criminale, quando si trova ad affrontare la responsabilità penale per questo, non distribuirà virus se non ne ricava un reddito significativo... Lo stesso vale per i virus. Ultimamente sono stati scritti con l’obiettivo di prenderti i soldi. nascosti o evidenti modi.
Troiani
Con un metodo nascosto Sul vostro computer è installato un programma dannoso, un cosiddetto Trojan. Penetra attraverso una vulnerabilità del computer, ad esempio quando il firewall è disabilitato o quando si accede a un determinato gruppo di siti. Molto spesso questi includono siti con contenuti erotici. Con un metodo esplicito per portare via i soldi, trasferisci tu stesso i soldi per sbloccare il computer in un modo o nell'altro sul conto dei criminali. Inoltre, potrebbe non esserci effettivamente uno sblocco, poiché dopo aver trasferito il denaro i criminali semplicemente non saranno interessati a te.
Ho deciso di condurre un esperimento rischioso). Ho aggiornato il mio database antivirus e sono andato su un sito ovviamente sospetto per mostrarti come appare. Ci viene subito offerto di scaricare un file del driver sconosciuto, anche senza specificare il modello della webcam.
Il nome del sito è visibile nello screenshot e non ha alcun significato semantico. Molto probabilmente questo è stato fatto deliberatamente per associare questo sito per nome al maggior numero possibile di query dei motori di ricerca, in modo da non poter notare la discrepanza tra gli argomenti. Inoltre, sullo schermo vediamo un gran numero di persone che hanno scaricato e presumibilmente li hanno ringraziati.
Siti truffa
Molto spesso, durante la ricerca, vediamo l'imitazione di pagine del forum con un nome poco chiaro e un'offerta per scaricare il file di cui abbiamo bisogno. Poi arriva una domanda da parte dell'utente: chiede di inviare un SMS per scaricare questo file. Gli spiegano con gioia che questa è protezione dai bot, è stato tutto controllato, non preoccuparti
Naturalmente, dopo aver inviato un SMS che risulta essere stato pagato, una bella somma verrà prelevata dal vostro conto con il fragile pretesto di fornire servizi di intrattenimento o di informazione.
Inoltre, non installare mai vari tipi di barre degli strumenti sul tuo computer, nonostante tutti i vantaggi di questa installazione, che autori esperti appositamente assunti ti descriveranno in modo colorito:
È meglio astenersi dal visitare siti se vediamo questo avviso:
Anche se è possibile, questa è solo una riassicurazione da parte dei programmatori Yandex. Ciò vale anche per varie estensioni provenienti da fonti non verificate. Con il pretesto di ciò si nascondono spesso tutti i tipi di virus.
Banner
Diamo un'occhiata a come viene infettato un computer con un antivirus installato, ma non con i database più recenti e il firewall abilitato?
Molto spesso, un utente inesperto scarica software dannoso sul proprio computer senza saperlo. Può essere mascherato da qualsiasi cosa, ad esempio da un'utilità o da un driver con un archivio autoestraente con estensione *.exe, o anche, come è successo con il mio capo, come una lettera importante, presumibilmente proveniente da un tribunale arbitrale. Ecco come appare uno dei possibili banner ransomware che potrebbero apparire sul tuo desktop:
Gli uomini d'affari hanno spesso molti problemi. Avendo perso la testa, scaricano immediatamente l'allegato dall'e-mail e lo aprono. Inoltre, in questo caso il file si chiamava “Lettera”. E anche l'icona aveva la forma di una busta. Per le persone con poca istruzione nel campo informatico, questo purtroppo è sufficiente. È l'estensione del file non standard e la sua icona che avviserà noi, utenti più esperti.
Successivamente, sul desktop è apparso un banner con il nome Watnik 91
Non è chiaro chi avrebbero ingannato in questo modo, a quanto pare questo è tutto ciò di cui la loro immaginazione era capace.
Quindi su questo banner era stampato il testo che tutti i tuoi file con estensione DOC, PDF, XLS, JPEG e possibilmente altri erano crittografati. Siamo riusciti a decrittografarli, ma solo dopo due settimane di corrispondenza e dopo aver inviato campioni di file crittografati a un sito speciale per fornire assistenza agli aiutanti.
Rimuovere un banner utilizzando AntiSMS
Ho già riscontrato banner ransomware. In questo caso ho un disco di avvio chiamato Anti SMS, creato appositamente per combattere i banner ransomware. È molto facile lavorarci. È sufficiente premere più volte il tasto BIOS nei primi 5 secondi dopo l'avvio del computer. Per diverse versioni di schede madri si tratta di tasti diversi, ad esempio Elimina, F2, F11 e altri, vedere le istruzioni sullo schermo del monitor subito dopo aver avviato il PC.
Dopo che la versione ridotta del sistema operativo (sistema operativo) è stata caricata nella RAM del computer, dobbiamo premere solo un pulsante-icona sullo schermo del monitor e attendere un messaggio che il computer è stato pulito. L'avvio automatico del computer in cui si registra il virus verrà cancellato. Dopo aver riavviato il computer, vedremo che il banner del ransomware è scomparso.
Disco di avvio o flash
Cosa fare se il tuo computer è infetto, sullo schermo è presente un banner simile che blocca l'accesso a Internet e il funzionamento del computer e non disponi di tale disco? Ebbene, ti sei rivelato impreparato a una simile svolta degli eventi!?
Quindi puoi eseguire l'avvio da un disco Linux Live Cd, ad esempio Ubuntu o Runtu, con il supporto predefinito per l'accesso a Internet tramite Ethernet. Chi è informato capirà
E poi scarica l'utilità Dottor web CureIt su un'unità flash
Oppure accedi ed esegui queste azioni da un altro computer. Questa utility ti consentirà di pulire il tuo computer dai virus dopo aver avviato Windows in modalità provvisoria. Per fare ciò, è necessario scrivere l'utilità su un'unità flash e, dopo aver caricato Windows in modalità provvisoria, eseguire questa utilità dall'unità flash.
Questa utility è completamente gratuita e viene fornita con le ultime versioni del database.
Spero che dopo aver letto questo articolo, il tuo computer sarà protetto in modo affidabile. E se sul tuo desktop appare un banner ransomware, puoi rimuoverlo rapidamente e in modo indipendente.
Dopo aver riavviato il computer, il monitor visualizza una richiesta per inviare un SMS a pagamento o per depositare denaro su un conto del cellulare?
Ecco, ecco come appare un tipico virus ransomware! Questo virus è disponibile in migliaia di forme diverse e centinaia di varianti. Tuttavia, è facile da riconoscere da un semplice segno: ti chiede di mettere soldi (chiamare) su un numero sconosciuto e in cambio promette di sbloccare il tuo computer. Cosa fare?
Innanzitutto, renditi conto che si tratta di un virus il cui obiettivo è succhiarti quanto più denaro possibile. Ecco perché non cedere alle sue provocazioni.
Ricorda una cosa semplice, non inviare SMS. Ritireranno tutto il denaro presente sul saldo (di solito la richiesta dice 200-300 rubli). A volte richiedono l'invio di due, tre o più SMS. Ricorda, il virus non scomparirà dal tuo computer, sia che tu invii denaro ai truffatori o meno. Il trojan winloc rimarrà sul tuo computer finché non lo rimuoverai tu stesso.
Il piano d'azione è il seguente: 1. Rimuovere il blocco dal computer 2. Rimuovere il virus e curare il computer.
Modi per sbloccare il computer:
1. Inserisci il codice di sblocco E. Il modo più comune per gestire uno striscione osceno. Puoi trovare il codice qui: Dr.web, Kasperskiy, Nod32. Non preoccuparti se il codice non funziona, vai al passaggio successivo.
2. Prova ad avviare in modalità provvisoria. Per fare ciò, dopo aver acceso il computer, premere F8. Quando viene visualizzata la finestra delle opzioni di avvio, seleziona "modalità provvisoria con supporto driver" e attendi l'avvio del sistema.
2a. Ora proviamo ripristinare il sistema(start-standard-system-restore) a un checkpoint precedente. 2b. Creare un nuovo account. Vai su Start - Pannello di controllo - Account. Aggiungi un nuovo account e riavvia il computer. Quando lo accendi, seleziona l'account appena creato. Passiamo a .
3. Prova ctrl+alt+canc- Dovrebbe apparire il task manager. Lanciamo utilità di guarigione tramite il task manager. (seleziona il file - una nuova attività e i nostri programmi). Un altro modo è tenere premuto Ctrl + Maiusc + Esc e, tenendo premuti questi tasti, cercare ed eliminare tutti i processi strani fino a sbloccare il desktop.
4. Il modo più affidabile- Ciò significa installare un nuovo sistema operativo (sistema operativo). Se hai assolutamente bisogno di mantenere il vecchio sistema operativo, esamineremo un modo più dispendioso in termini di manodopera per gestire questo banner. Ma non per questo meno efficace!
Un altro modo (per utenti esperti):
5. Avvio da disco CD live che ha un programma di modifica del registro. Il sistema si è avviato, apri l'editor del registro. In esso vedremo il registro del sistema attuale e di quello infetto (i suoi rami sul lato sinistro sono visualizzati con una firma tra parentesi).
Troviamo la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - lì cerchiamo Userinit - cancelliamo tutto dopo la virgola. ATTENZIONE! Il file stesso “C:\Windows\system32\userinit.exe” NON PUÒ essere eliminato.);
Guarda il valore della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell dovrebbe essere explorer.exe. Abbiamo finito con il registro.
Se viene visualizzato l'errore "La modifica del registro è vietata dall'amministratore di sistema", scarica il programma AVZ. Apri "File" - "Ripristino configurazione di sistema" - Seleziona "Sblocca editor del registro", quindi fai clic su "Esegui le operazioni selezionate". L'editor è di nuovo disponibile.
Lanciamo lo strumento di rimozione Kaspersky e dr.web cureit e con essi scansioniamo l'intero sistema. Non resta che riavviare e ripristinare le impostazioni del bios. Tuttavia, il virus NON è stato ancora rimosso dal computer.
Trattare il tuo computer dal Trojan WinLock
Per questo abbiamo bisogno di:
- Editor del registro di ReCleaner
- antivirus popolare Rimozione strumento Kaspersky
- il famoso antivirus Dr.web cureit
- efficace antivirus Removeit pro
- Utilità di riparazione del registro Plstfix
- Programma per rimuovere file temporanei ATF Cleaner
1. È necessario eliminare il virus dal sistema. Per fare ciò, avvia l'editor del registro. Vai a Menu - Attività - Avvia Editor del Registro di sistema. È necessario trovare:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - lì cerchiamo la sezione Userinit - cancelliamo tutto dopo la virgola. ATTENZIONE! Il file stesso “C:\Windows\system32\userinit.exe” NON PUÒ essere eliminato.);
Guarda il valore della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell dovrebbe esserci explorer.exe. Abbiamo finito con il registro.
Ora seleziona la scheda "Avvio". Esaminiamo gli elementi di avvio, selezioniamo le caselle ed eliminiamo (nell'angolo in basso a destra) tutto ciò che non hai installato, lasciando solo desktop e ctfmon.exe. I restanti processi svchost.exe e other.exe dalla directory di Windows devono essere rimossi.
Seleziona Attività - Pulisci il registro - Utilizza tutte le opzioni. Il programma eseguirà la scansione dell'intero registro ed eliminerà tutto in modo permanente.
2. Per trovare il codice stesso, abbiamo bisogno delle seguenti utilità: Kaspersky, Dr.Web e RemoveIT. Nota: RemoveIT ti chiederà di aggiornare i database delle firme antivirali. È necessario stabilire una connessione Internet durante l'aggiornamento!
Con questi programmi scansioniamo il disco di sistema ed eliminiamo tutto ciò che trovano. Se lo desideri, puoi controllare tutte le unità del computer per ogni evenienza. Ci vorrà molto più tempo, ma è più affidabile.
3. L'utilità successiva è Plstfix. Ripristina il registro dopo le nostre azioni su di esso. Di conseguenza, il task manager e la modalità provvisoria ricominceranno a funzionare.
4. Per ogni evenienza, elimina tutti i file temporanei. Spesso in queste cartelle sono nascoste copie del virus. In questo modo anche gli antivirus più noti potrebbero non rilevarli. È meglio rimuovere manualmente tutto ciò che non influirà in modo significativo sul funzionamento del sistema. Installa ATF Cleaner, contrassegna tutto ed eliminalo.
5. Riavviare il sistema. Funziona tutto! ancora meglio di prima :).
Oggi voglio parlare di Estorsione tramite SMStramite Internet e computer . Cioè i casi in cui il tuo computer, dopo aver visitato determinati siti, viene infettato da banner che bloccano completamente o parzialmente il funzionamento del sistema. Per sbloccare è necessario inviare un messaggio a un numero breve.
Innanzitutto, scopriamo quali tipi di banner ransomware esistono. A primo tipo includere banner che compaiono solo all'avvio dei browser Internet (Internet Explorer, Opera, Mozilla Firefox, Google Chrome, ecc.). Questi banner sono anche chiamati informatori .
Secondo tipo i banner vengono posizionati sul desktop e ne occupano la maggior parte, senza bloccare l'avvio di altri programmi, consentendo di aprire il menu principale, il Task Manager, ecc.
Terzo tipo gli striscioni sono i più disgustosi. Blocca completamente il funzionamento del computer, richiedendo di inviare un messaggio SMS a un numero breve. In risposta, viene promesso un codice di sblocco. È impossibile accedere normalmente al sistema anche in modalità provvisoria. Ricorda una cosa: non inviare mai SMS ai numeri specificati! Si tratta di pura frode, che rientra nei pertinenti articoli del codice penale. Nessun utente ha mai ricevuto un messaggio SMS di risposta con un codice di sblocco del banner.
Nessuno sa come, ma il banner è arrivato sul tuo computer. Che ciò sia accaduto dopo aver cliccato sul collegamento fornito nell'e-mail o semplicemente scaricato qualcosa, ci sono molte opzioni. Cosa fare in questo caso? Innanzitutto, devi decidere quale tipo di banner ransomware è presente sul tuo computer. Se si chiude insieme al browser, questo è il primo tipo; se si avvia Task Manager, Blocco note, Word o qualsiasi altra applicazione, questo è il secondo tipo; se non aiuta e il banner si blocca, questo è il terzo.
Per rimuovere il primo tipo di ransomware, devi rivedere attentamente tutte le impostazioni del browser e rimuovere tutti i plugin, i componenti aggiuntivi e le estensioni che non hai installato. Facciamo lo stesso per le applet JavaScript e le DLL.
Il secondo tipo di ransomware SMS non è così facile da eliminare dal sistema, ma è anche possibile. Il primo modo è visitare il sito Web di un'azienda antivirus. Tutte le aziende più o meno grandi hanno da tempo pubblicato sui propri siti ufficiali informazioni su come rimuovere un banner ransomware utilizzando metodi “legali”. È necessario reperire sul sito le informazioni che riguardano specificatamente il numero breve a cui viene chiesto di inviare un messaggio SMS. Lì, sul sito web, viene fornito anche un codice di sblocco ed è assolutamente gratuito. Dopo lo sblocco, aggiorna i database delle firme antivirus per l'antivirus che hai installato ed esegui una scansione completa dell'intero computer. Rimuovi senza pietà qualsiasi infezione che trovi. Se non hai installato alcun antivirus, scarica l'utilità gratuita CureIt dal sito Dr.Web e controlla con essa il tuo computer. Dopo aver controllato, pulisci il registro con un'utilità speciale: un pulitore di registro o fallo manualmente, se, ovviamente, lo capisci.
Se possiedi il terzo tipo di banner ransomware, non puoi fare a meno di un disco LiveCD o senza rimuovere il disco rigido e collegarlo a un altro computer. La procedura qui è la seguente: avviare dal disco, avviare CureIt, controllare l'infezione del computer ed eliminare tutto ciò che si trova. Ancora una volta, esegui la pulizia del registro ed elimina le chiavi correlate al malware. Se non disponi di un LiveCD, collega il tuo disco rigido a un altro computer ed esegui l'antivirus su di esso, dopo aver ovviamente aggiornato i database dei virus. Dopodiché, riavviamo e godiamoci la vita.
Sicuramente, un utente su quattro di un personal computer si è imbattuto in varie truffe su Internet. Un tipo di inganno è un banner che blocca il funzionamento di Windows e richiede l'invio di un SMS a un numero a pagamento o richiede criptovaluta. In sostanza è solo un virus.
Per combattere il banner ransomware, devi capire cos'è e come penetra nel tuo computer. Solitamente un banner si presenta così:
Ma potrebbero esserci molte altre variazioni, ma l'essenza è la stessa: i truffatori vogliono guadagnare soldi da te.
Modi in cui un virus entra in un computer
La prima opzione per l'"infezione" sono applicazioni, utilità e giochi piratati. Naturalmente, gli utenti di Internet sono abituati a ottenere la maggior parte di ciò che desiderano online "gratuitamente", ma quando scarichiamo software pirata, giochi, attivatori vari e altre cose da siti sospetti, rischiamo di essere infettati da virus. In questa situazione di solito aiuta.
Windows potrebbe essere bloccato a causa di un file scaricato con estensione " .exe" Ciò non significa che dovresti rifiutarti di scaricare file con questa estensione. Basta ricordarlo" .exe"può applicarsi solo a giochi e programmi. Se scarichi un video, una canzone, un documento o un'immagine e il suo nome contiene ".exe" alla fine, la possibilità che appaia un banner ransomware aumenta drasticamente fino al 99,999%!
C'è anche un trucco complicato con la presunta necessità di aggiornare il Flash Player o il browser. Può succedere che lavorerai su Internet, ti sposterai da una pagina all'altra e un giorno troverai un'iscrizione che "il tuo Flash Player non è aggiornato, per favore aggiorna". Se fai clic su questo banner e non ti porta al sito web ufficiale adobe.com, allora è al 100% un virus. Pertanto, controlla prima di fare clic sul pulsante “Aggiorna”. L’opzione migliore sarebbe ignorare del tutto tali messaggi.
Infine, gli aggiornamenti Windows obsoleti indeboliscono la sicurezza del sistema. Per mantenere il tuo computer protetto, prova a installare gli aggiornamenti in tempo. Questa funzionalità può essere configurata in “Pannello di controllo -> Windows Update” alla modalità automatica per non essere distratti.
Come sbloccare Windows 7/8/10
Una delle semplici opzioni per rimuovere il banner del ransomware è. Aiuta al 100%, ma ha senso reinstallare Windows quando non hai dati importanti sull'unità "C" che non hai avuto il tempo di salvare. Quando reinstalli il sistema, tutti i file verranno eliminati dal disco di sistema. Pertanto, se non desideri reinstallare software e giochi, puoi utilizzare altri metodi.
Dopo il trattamento e l'avvio riuscito del sistema senza il banner del ransomware, è necessario eseguire ulteriori passaggi, altrimenti il virus potrebbe ricomparire o semplicemente si verificheranno dei problemi nel funzionamento del sistema. Tutto questo è alla fine dell'articolo. Tutte le informazioni sono state verificate da me personalmente! Allora, cominciamo!
Kaspersky Rescue Disk + WindowsUnlocker ci aiuterà!
Utilizzeremo un sistema operativo appositamente sviluppato. L'intera difficoltà è che devi scaricare l'immagine sul tuo computer di lavoro e/o (scorri gli articoli, è lì).
Quando questo sarà pronto, ti servirà. Al momento dell'avvio verrà visualizzato un piccolo messaggio del tipo "Premere un tasto qualsiasi per avviare da CD o DVD". Qui è necessario premere un pulsante qualsiasi sulla tastiera, altrimenti verrà avviato Windows infetto.
Durante il caricamento, premere un pulsante qualsiasi, quindi selezionare la lingua – “Russo”, accettare il contratto di licenza utilizzando il pulsante “1” e utilizzare la modalità di avvio – “Grafica”. Dopo aver avviato il sistema operativo Kaspersky, non prestiamo attenzione allo scanner avviato automaticamente, ma andiamo nel menu “Start” e avviamo “Terminale”
Si aprirà una finestra nera, dove scriviamo il comando:
aprifinestre
Si aprirà un piccolo menù:
Seleziona "Sblocca Windows" con il pulsante "1". Il programma stesso controllerà e correggerà tutto. Ora puoi chiudere la finestra e controllare l'intero computer con lo scanner già in esecuzione. Nella finestra, metti un segno di spunta sul disco con sistema operativo Windows e fai clic su "Esegui scansione oggetto"
Aspettiamo che il controllo finisca (può richiedere molto tempo) e infine riavviamo.
Se hai un laptop senza mouse e il touchpad non funziona, ti suggerisco di utilizzare la modalità testo del disco Kaspersky. In questo caso, dopo aver avviato il sistema operativo, bisogna prima chiudere il menu che si apre con il tasto “F10”, quindi inserire lo stesso comando nella riga di comando: windowsunlocker
Sblocco in modalità provvisoria, senza immagini speciali
Oggi virus come Winlocker sono diventati più intelligenti e impediscono il caricamento di Windows in modalità provvisoria, quindi molto probabilmente non ci riuscirai, ma se non è presente alcuna immagine, prova. I virus sono diversi e metodi diversi possono funzionare per tutti, ma il principio è lo stesso.
Riavviare il computer. Durante l'avvio, è necessario premere il tasto F8 finché non viene visualizzato il menu Opzioni di avvio avanzate di Windows. Dobbiamo usare le frecce giù per selezionare dall'elenco un elemento chiamato "Modalità provvisoria con supporto della riga di comando".
Qui è dove dobbiamo andare e selezionare la riga desiderata:
Successivamente, se tutto va bene, il computer si avvierà e vedremo il desktop. Grande! Ma questo non significa che adesso funzioni tutto. Se non rimuovi il virus e riavvii semplicemente in modalità normale, il banner apparirà di nuovo!
Siamo trattati utilizzando Windows
È necessario ripristinare il sistema quando il banner di blocco non esisteva ancora. Leggi attentamente l'articolo e fai tutto ciò che è scritto lì. Sotto l'articolo c'è un video.
Se il problema persiste, premi i pulsanti "Win + R" e scrivi il comando nella finestra per aprire l'editor del registro:
regedit
Se al posto del desktop viene avviata una riga di comando nera, è sufficiente inserire il comando "regedit" e premere "Invio". Dobbiamo controllare in alcune sezioni del registro la presenza di virus o, per essere più precisi, di codici dannosi. Per avviare questa operazione, accedere a questo percorso:
HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon
Ora controlliamo i seguenti valori in ordine:
- Shell – “explorer.exe” deve essere scritto qui, non dovrebbero esserci altre opzioni
- Userinit: qui il testo dovrebbe essere "C:\Windows\system32\userinit.exe",
Se il sistema operativo è installato su un'unità diversa da C:, la lettera sarà diversa. Per modificare valori errati, fai clic con il pulsante destro del mouse sulla riga che desideri modificare e seleziona "modifica":
Quindi controlliamo:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Non dovrebbero esserci chiavi Shell e Userinit qui; se ce ne sono, cancellale.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Esegui
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
E assicurati anche di:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Esegui
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Se non sei sicuro di dover eliminare la chiave, puoi semplicemente aggiungere prima un "1" al parametro. Il percorso sarà errato e il programma semplicemente non si avvierà. Quindi puoi riportarlo com'era.
Ora devi eseguire l'utilità di pulizia del sistema integrata, lo facciamo nello stesso modo in cui abbiamo lanciato l'editor del registro "regedit", ma scriviamo:
cleanmgr
Seleziona l'unità con il sistema operativo (C: per impostazione predefinita) e dopo la scansione, seleziona tutte le caselle tranne "Aggiorna file di backup del pacchetto"
E fare clic su "OK". Con questa azione potremmo aver disabilitato l'esecuzione automatica del virus, quindi dobbiamo ripulire le tracce della sua presenza nel sistema e leggere questo alla fine dell'articolo.
Utilità AVZ
L'idea è che in modalità provvisoria lanceremo la nota utility antivirus AVZ. Oltre alla scansione antivirus, il programma ha molte funzioni per risolvere i problemi del sistema. Questo metodo ripete i passaggi per chiudere i buchi nel sistema dopo che il virus ha funzionato, incl. Per conoscerlo, passate al punto successivo.
Risolvere i problemi dopo la rimozione del ransomware
Congratulazioni! Se stai leggendo questo, significa che il sistema è stato avviato senza banner. Ora devono controllare l’intero sistema. Se hai utilizzato il disco di ripristino di Kaspersky e hai controllato lì, puoi saltare questo punto.
Potrebbe esserci anche un altro problema associato alle attività del cattivo: il virus può crittografare i tuoi file. E anche dopo averlo completamente eliminato, semplicemente non sarai in grado di utilizzare i tuoi file. Per decrittografarli è necessario utilizzare i programmi dal sito Web di Kaspersky: XoristDecryptor e RectorDecryptor. Lì ci sono anche le istruzioni per l'uso.
Ma non è tutto, perché... Molto probabilmente Winlocker ha giocato un brutto scherzo al sistema e si osserveranno vari glitch e problemi. Ad esempio, l'Editor del Registro di sistema e il Task Manager non si avvieranno. Per trattare il sistema utilizzeremo il programma AVZ.
Potrebbe esserci un problema durante il download utilizzando Google Chrome perché... Questo browser considera il programma dannoso e non ti consente di scaricarlo! Questa domanda è già stata sollevata sul forum ufficiale di Google e al momento della stesura di questo articolo tutto è già normale.
Per scaricare comunque l'archivio con il programma, devi andare su "Download" e fare clic su "Scarica file dannoso" :) Sì, capisco che sembra un po' stupido, ma a quanto pare Chrome crede che il programma possa danneggiare l'utente medio . E questo è vero se lo colpisci ovunque! Pertanto, seguiamo rigorosamente le istruzioni!
Decomprimiamo l'archivio con il programma, lo scriviamo su un supporto esterno e lo eseguiamo sul computer infetto. Andiamo al menu "File -> Ripristino configurazione di sistema", seleziona le caselle come in figura ed esegui le operazioni:
Ora seguiamo il seguente percorso: "File -> Procedura guidata per la risoluzione dei problemi", quindi vai a “Problemi di sistema -> Tutti i problemi” e fare clic sul pulsante "Avvia". Il programma eseguirà la scansione del sistema, quindi nella finestra che appare, seleziona tutte le caselle tranne "Disabilita aggiornamenti automatici del sistema operativo" e quelle che iniziano con la frase "Consenti esecuzione automatica da...".
Fare clic sul pulsante "Risolvi i problemi rilevati". Dopo aver completato con successo, vai a: “Impostazioni e modifiche del browser -> Tutti i problemi”, qui selezioniamo tutte le caselle e facciamo clic sul pulsante "Risolvi problemi contrassegnati" allo stesso modo.
Facciamo lo stesso con la “Privacy”, ma qui non selezioniamo le caselle responsabili della cancellazione dei segnalibri nei browser e di qualsiasi altra cosa ritieni necessaria. Completiamo il controllo nelle sezioni “Pulizia del sistema” e “Rimozione adware/barra degli strumenti/dirottatore del browser”.
Infine, chiudi la finestra senza uscire dall'AVZ. Nel programma troviamo “Strumenti -> Editor estensioni Explorer” e deseleziona gli elementi contrassegnati in nero. Ora passiamo a: “Strumenti -> Gestione estensioni di Internet Explorer” e cancella completamente tutte le righe nella finestra che appare.
Ho già detto sopra che questa sezione dell'articolo è anche uno dei modi per curare Windows dal banner ransomware. Quindi, in questo caso, devi scaricare il programma sul tuo computer di lavoro e quindi scriverlo su un'unità flash o su un disco. Eseguiamo tutte le azioni in modalità sicura. Ma esiste un'altra opzione per avviare AVZ, anche se la modalità provvisoria non funziona. È necessario iniziare dallo stesso menu all'avvio del sistema, nella modalità "Risoluzione dei problemi del computer".
Se lo hai installato, verrà visualizzato nella parte superiore del menu. Se non è presente, prova ad avviare Windows finché non viene visualizzato il banner e a scollegare il computer. Quindi attivalo: potrebbe essere offerta una nuova modalità di lancio.
Esecuzione dal disco di installazione di Windows
Un altro modo sicuro è avviare da qualsiasi disco di installazione di Windows 7-10 e selezionare non "Installa" lì, ma "Ripristino del sistema". Quando lo strumento di risoluzione dei problemi è in esecuzione:
- È necessario selezionare "Riga di comando" lì
- Nella finestra nera che appare, scrivi: “blocco note”, cioè avviare un normale blocco note. Lo useremo come mini conduttore
- Andare al menu “File -> Apri”, selezionare il tipo di file “Tutti i file”
- Successivamente, trova la cartella con il programma AVZ, fai clic con il pulsante destro del mouse sul file da avviare “avz.exe” e avvia l'utilità utilizzando la voce di menu “Apri” (non la voce “Seleziona”!).
Se tutti gli altri falliscono
Si riferisce ai casi in cui, per qualche motivo, non è possibile eseguire l'avvio da un'unità flash su cui è registrata un'immagine Kaspersky o il programma AVZ. Tutto quello che devi fare è rimuovere il disco rigido dal computer e collegarlo come seconda unità al computer del lavoro. Quindi avvia da un disco rigido NON INFETTO ed esegui la scansione della TUA unità con uno scanner Kaspersky.
Non inviare mai messaggi SMS richiesti dai truffatori. Qualunque sia il testo, non inviare messaggi! Cerca di evitare siti e file sospetti e in generale leggi. Segui le istruzioni e il tuo computer sarà al sicuro. E non dimenticare l’antivirus e gli aggiornamenti regolari del sistema operativo!
Ecco un video dove potete vedere tutto con un esempio. La playlist è composta da tre lezioni:
PS: quale metodo ti ha aiutato? Scrivilo nei commenti qui sotto.
