Rimuovere il banner del ransomware da Windows 7. Come eliminare il banner del ransomware? Metodi per sbloccare il computer

I trojan Winlocker sono un tipo di malware che, bloccando l'accesso al desktop, estorce denaro all'utente: presumibilmente, se trasferisce l'importo richiesto sul conto dell'aggressore, riceverà un codice di sblocco.

Se, una volta acceso il PC, al posto del desktop viene visualizzato:

O qualcos'altro nello stesso spirito: con iscrizioni minacciose e talvolta con immagini oscene, non affrettarti ad accusare i tuoi cari di tutti i peccati. Loro, e forse anche tu, sono diventati vittime del ransomware trojan.winlock.

Come fanno i bloccanti ransomware a penetrare nel tuo computer?

Molto spesso, i bloccanti entrano nel tuo computer nei seguenti modi:

  • attraverso programmi compromessi, nonché strumenti per l'hacking di software a pagamento (crack, keygen, ecc.);
  • scaricati tramite link da messaggi sui social network, inviati presumibilmente da conoscenti, ma in realtà da aggressori da pagine compromesse;
  • scaricati da risorse web di phishing che imitano siti noti, ma in realtà sono creati appositamente per diffondere virus;
  • arrivano via e-mail sotto forma di allegati che accompagnano lettere dal contenuto intrigante: “sei stato denunciato...”, “sei stato fotografato sulla scena del crimine”, “hai vinto un milione” e simili.

Attenzione! Non sempre i banner pornografici vengono scaricati dai siti porno. Possono farlo da quelli più ordinari.

Allo stesso modo si diffonde un altro tipo di ransomware: i browser blocker. Ad esempio, in questo modo:

Chiedono denaro per accedere alla navigazione sul Web tramite un browser.

Come rimuovere il banner "Windows bloccato" e simili?

Quando il desktop è bloccato e un banner di virus impedisce l'esecuzione di qualsiasi programma sul computer, puoi procedere come segue:

  • entrare in modalità provvisoria con il supporto della riga di comando, avviare l'editor del registro ed eliminare le chiavi di esecuzione automatica del banner.
  • avviare da un Live CD (disco "live"), ad esempio ERD Commander, e rimuovere il banner dal computer sia tramite il registro (chiavi di esecuzione automatica) che tramite Explorer (file).
  • scansiona il sistema da un disco di avvio con un antivirus, ad esempio Dr.Web LiveDisk o Kaspersky Rescue Disk 10.

Metodo 1. Rimozione di Winlocker dalla modalità provvisoria con supporto della console.

Quindi, come rimuovere un banner dal tuo computer tramite la riga di comando?

Su macchine con Windows XP e 7, prima dell'avvio del sistema, è necessario premere rapidamente il tasto F8 e selezionare la voce contrassegnata dal menu (in Windows 8\8.1 non è presente questo menu, quindi sarà necessario avviare dal programma di installazione disk e avviare la riga di comando da lì).

Invece di un desktop, davanti a te si aprirà una console. Per avviare l'editor del registro, inserisci il comando al suo interno regedit e premere Invio.

Successivamente, apri l'editor del registro, trova le voci dei virus al suo interno e correggilo.

Molto spesso, i banner ransomware vengono registrati nelle seguenti sezioni:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- qui cambiano i valori dei parametri Shell, Userinit e Uihost (quest'ultimo parametro è disponibile solo in Windows XP). È necessario riportarli alla normalità:

  • Shell = Explorer.exe
  • Userinit = C:\WINDOWS\system32\userinit.exe, (C: è la lettera della partizione di sistema. Se Windows si trova sull'unità D, il percorso di Userinit inizierà con D:)
  • Uihost = LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- vedere il parametro AppInit_DLLs. Normalmente potrebbe essere assente o avere un valore vuoto.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Esegui- qui il ransomware crea un nuovo parametro con un valore sotto forma di percorso del file di blocco. Il nome del parametro può essere una stringa di lettere, ad esempio dkfjghk. È necessario rimuoverlo completamente.

Lo stesso vale per le seguenti sezioni:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Esegui
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Per correggere le chiavi di registro, fare clic con il pulsante destro del mouse sul parametro, selezionare "Cambia", immettere un nuovo valore e fare clic su OK.

Successivamente, riavvia il computer in modalità normale ed esegui una scansione antivirus per rimuovere tutti i file ransomware dal disco rigido.

Metodo 2. Rimozione di Winlocker utilizzando ERD Commander.

ERD Commander contiene un ampio set di strumenti per ripristinare Windows, compresi quelli danneggiati dal blocco dei trojan. Utilizzando l'editor del registro integrato ERDregedit, puoi eseguire le stesse operazioni descritte sopra.

Il comandante ERD sarà indispensabile se Windows è bloccato in tutte le modalità. Le sue copie sono distribuite illegalmente, ma sono facili da trovare su Internet.

I set di comandi ERD per tutte le versioni di Windows sono chiamati dischi di avvio MSDaRT (Microsoft Diagnostic & Recovery Toolset); sono disponibili in formato ISO, comodo per la masterizzazione su DVD o il trasferimento su un'unità flash.

Dopo l'avvio da un disco di questo tipo, è necessario selezionare la versione del sistema, accedere al menu e fare clic su Editor del registro.

In Windows XP, la procedura è leggermente diversa: qui è necessario aprire il menu Start, selezionare Strumenti di amministrazione ed Editor del registro.

Dopo aver modificato il registro, avvia nuovamente Windows: molto probabilmente non vedrai il banner "Il computer è bloccato".

Metodo 3. Rimozione del blocco utilizzando un "disco di ripristino" dell'antivirus.

Questo è il metodo di sblocco più semplice, ma anche più lungo. È sufficiente masterizzare l'immagine Dr.Web LiveDisk o Kaspersky Rescue Disk su DVD, avviare da esso, avviare la scansione e attendere che finisca. Il virus verrà ucciso.

La rimozione dei banner dal computer utilizzando sia i dischi Dr.Web che Kaspersky è altrettanto efficace.

Come proteggere il tuo computer dai bloccanti?

  • Installa un antivirus affidabile e mantienilo sempre attivo.
  • Si prega di controllare la sicurezza di tutti i file scaricati da Internet prima del lancio.
  • Non fare clic su collegamenti sconosciuti.
  • Non aprire gli allegati di posta elettronica, soprattutto quelli che arrivano in lettere con testo intrigante. Anche dai tuoi amici.
  • Tieni traccia di quali siti visitano i tuoi figli. Usa il controllo genitori.
  • Se possibile, non utilizzare software piratato: molti programmi a pagamento possono essere sostituiti con programmi gratuiti e sicuri.

Come sbarazzarsi di un banner

Con un enorme senso di gratitudine verso il nostro lettore per questo collegamento a un sito di virus in cui il mio computer potrebbe essere infettato da un banner ransomware, ho disattivato il mio antivirus e alcune protezioni, di cui parleremo di seguito, e ho seguito questo collegamento. Si è aperto un sito in cui sono riuscito a vedere solo la sagoma di una chitarra, letteralmente un secondo dopo, è stato attivato il codice virale incorporato nella pagina principale di questo sito, che è javascript, e il mio desktop è stato bloccato da un banner ransomware, ho non ho nemmeno avuto il tempo di fare clic su nulla (ovviamente non ti darò un collegamento a un sito con un virus, l'amministrazione di questo sito, in seguito ho scritto una lettera e il virus è stato rimosso dal sito, ma in generale, tutto può succedere nella vita, nessun sito è immune al 100% dall'hacking).

Bene, ora una storia dettagliata su come sbarazzarsi di un banner, se lo hai già catturato. Le informazioni fornite sono adatte per i sistemi operativi Windows Vista, .

La prima cosa che faremo è visitare i siti Web delle principali società di antivirus che forniscono servizi per sbloccare il tuo computer dal banner ransomware.

  1. Dr.Web https://www.drweb.com/xperf/unlocker
  2. NOD32 http://www.esetnod32.ru/.support/winlock
  3. Kaspersky Lab http://sms.kaspersky.ru

Purtroppo non sono riuscito a trovare il codice di sblocco; a quanto pare il virus è stato scritto di recente.
La seconda cosa che puoi provare è riavviare il computer e durante il caricamento premere F-8, andiamo a Risoluzione dei problemi, questo se hai installato Windows 7; nel sistema operativo Windows XP, vai direttamente in modalità provvisoria con supporto da riga di comando (leggi cosa fare lì sotto).

Ciao cari lettori del blog, da tempo volevo scrivere un articolo su come rimuovere il virus ransomware (Winlocker) che blocca l'accesso al computer.
Molto spesso, questo problema viene riscontrato da utenti inesperti che, per puro caso o per loro negligenza, sono diventati vittime di truffatori. Molte persone, a causa della loro inesperienza, inviano SMS per sbloccare un banner con la speranza di ricevere un codice e spendono un sacco di soldi prima che diventi chiaro che si tratta solo di un virus ransomware che ha infettato il tuo computer, che può essere combattuto senza investire denaro .

Dirò subito che in nessun caso pagare soldi ai truffatori, tutto ciò che è scritto su un banner SMS di questo tipo è una pura truffa. Anche se decidi di seguire il percorso di minor resistenza e pagherai, non è un dato di fatto che questo risolverà il tuo problema.

Inoltre, non ricorrere all'ultima risorsa: non reinstallare il sistema. Qualsiasi programma dannoso può essere rimosso in modo semplice e senza conseguenze. La reinstallazione del sistema può comportare la cancellazione completa di tutte le informazioni necessarie. Puoi usarlo solo se non c'è nulla di prezioso sul tuo computer.

L'impatto del ransomware sul tuo sistema

Winlocker sospende completamente il sistema operativo e blocca l'accesso ai programmi di avvio e al desktop. Il virus ransomware blocca l'accesso al task manager e si avvia immediatamente dopo l'avvio del caricamento di Windows. A volte capita che un programma dannoso impedisca l'avvio del sistema in modalità provvisoria, in questa situazione sarà molto più difficile risolvere il problema.

Quando un programma antivirus entra in un dispositivo, si registra più volte in luoghi diversi, rendendone difficile l'identificazione e ancor meno la rimozione.

Ti dirò alcune parole sul perché si verifica questa situazione. Molto spesso, la comparsa di questo tipo di virus può essere osservata su quei computer in cui non è presente alcuna protezione antivirus. Per proteggere il tuo dispositivo dai malware ti consiglio di leggere l'articolo . Devi anche capire che sui siti web devi stare estremamente attento e non fare clic su collegamenti non familiari. Esiste ancora una probabilità molto alta di contrarre tale infezione dopo aver scaricato e installato un programma da una risorsa non verificata. Quando lavori su Internet, non dimenticare di proteggere il tuo PC; la minima attenzione aiuterà ad evitare ulteriori problemi.

Assicurati di eseguire la manutenzione del computer, aggiornare l'antivirus e scansionare periodicamente il dispositivo alla ricerca di malware (puoi impostare la scansione automatica in un determinato giorno e ora). Se segui semplici regole, puoi evitare l'infezione.

Quindi, se decidi comunque di affrontare questo problema da solo, esaminiamo diverse opzioni su come sbloccare il virus ransomware. Inizieremo con il metodo più semplice per poi spostarci gradualmente verso uno più complesso. Se una qualsiasi delle opzioni ti aiuta, mantienila.

Esecuzione di comandi dalla riga di comando

Recentemente ho saputo dell'esistenza del metodo più semplice, ma non è in grado di risolvere il problema su tutte le macchine.

La prima cosa che dobbiamo fare è . Riavviamo il computer e premiamo periodicamente il tasto F8 durante il caricamento. Se hai fatto tutto correttamente, dovresti vedere un menu di opzioni di avvio di Windows aggiuntive. In questo menu, seleziona l'opzione per avviare il sistema Modalità provvisoria con supporto della riga di comando e premere Invio. Dopo il caricamento, verrà visualizzata solo la riga di comando senza il desktop e i collegamenti e le icone presenti su di esso. Inserisci i seguenti comandi uno per uno

  • squadra cleanmgr– Lo strumento Cleanmgr.exe è progettato per rimuovere file non necessari e obsoleti;
  • squadra rstrui– comando per avviare il ripristino del sistema (questo comando funzionerà solo se non lo hai disabilitato nelle impostazioni di sistema).

Dopo aver inserito in sequenza i comandi, riavviamo il computer e controlliamo la presenza del banner. Se manca, questo metodo ci ha aiutato, in caso contrario, passa a quello successivo.

Rimozione del blocco dall'avvio

Come nel primo metodo, avviamo il dispositivo e premiamo il tasto F8 per caricare il menu di opzioni aggiuntive. Selezionare quindi l'elemento Modalità sicura e premere Invio. Lanciamo la funzione Esegui tramite il menu Start o premendo contemporaneamente i tasti Ctrl+R e nel campo eseguire immettere il comando msconfig. Questo aprirà la finestra delle opzioni di avvio di Windows. Apri la scheda Avvio e prova a trovare programmi sospetti.

Molto spesso, il nome di tali programmi è costituito da un insieme casuale di lettere. Se hai trovato un programma del genere, deseleziona la casella accanto ad esso. È inoltre necessario controllare in quale cartella è archiviato ed eliminarlo. Prima di eseguire queste azioni, ti consiglio di leggere i materiali nell'articolo.

Dopo aver completato le operazioni, riavviare il computer e verificare se il problema è stato risolto. Se il virus SMS continua a negare l'accesso, passa al metodo successivo.

Pulizia del registro dalle tracce del banner

Se sei arrivato a questo punto e i tentativi precedenti sono stati vani, questo metodo dovrebbe aiutarti a sbloccare il virus ransomware del 98%.

Vorrei sottolineare che tutte le azioni elencate di seguito devono essere eseguite con estrema attenzione e rigorosamente secondo le istruzioni. Modificando le chiavi di registro, azioni errate possono causare danni irreparabili al sistema e non resta che reinstallare Windows.

Quindi, avviamo il sistema in modalità provvisoria; come farlo è descritto sopra. Aspettiamo il download e lanciamo l'opzione “Esegui” nel campo della finestra che si apre, inserisci il comando regedit. Dopo aver inserito il comando, si aprirà una finestra dell'editor del registro di fronte a te.

Quindi vai al seguente percorso HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Nella colonna di destra potrai vedere due parametri Shell e Userinit. Di fronte a questi parametri c'è una colonna di valori. Non dovrebbe esserci nulla di superfluo in queste colonne (di fronte al parametro Shell dovrebbe esserci il valore explorer.exe, di fronte a Userinit il valore userinit.exe). Se sono presenti valori aggiuntivi, questo è il risultato di un virus e puoi eliminare tutto in sicurezza.

Inoltre, per alleggerirti la coscienza, ti consiglio di recarti al seguente indirizzo nelle impostazioni del registro ….. \ Microsoft\ finestre\ Versione attuale\ Correre
 e controlla se ci sono programmi non necessari o sconosciuti nel campo destro della finestra; se ne vengono trovati, eliminali.

Riavvia il computer e rallegrati che il virus sia scomparso.

Sono sicuro quasi al cento per cento che se tutto è fatto correttamente, il banner che blocca l'avvio di Windows scomparirà. Ma per ogni evenienza, ti darò un altro modo per rimuovere il ransomware. Certo, non è così grave come gli altri, ma a volte non è per questo meno efficace.

Data di conversione nel Bios

All'avvio del sistema, vai nel Bios e modifica la data e l'ora con una settimana di anticipo. Succede che il banner scompaia, ma ciò accade molto raramente.

Assicurati di scansionare il tuo computer alla ricerca di malware dopo essere riuscito a sbarazzarti del blocco di Windows. È necessario eseguire una scansione completa, non rapida. Devi anche pensare a una protezione di alta qualità per il tuo dispositivo. Se non hai soldi per un antivirus a pagamento come, puoi scaricare un antivirus gratuito chiamato.

E il passaggio finale sarà controllare la presenza di malware sul tuo PC. Esistono diversi programmi gratuiti per questo, di cui parlerò nei successivi articoli del mio blog.

Spero davvero di averti aiutato a capire come rimuovere il banner del ransomware, ma se hai domande, sentiti libero di farle nei commenti e sarò felice di provare ad aiutarti.

Ciao a tutti! Oggi ho deciso di scrivere un articolo dal mio computer. Ogni giorno ci sono sempre più truffatori su Internet. Pertanto, aumenta la minaccia di infezione del computer. I virus ransomware sono molto comuni ora, bloccano il tuo desktop ed estorcono denaro. È chiaro che non pagheremo soldi per questo, ma puliremo il computer da questa infezione.

Credo che i banner ransomware siano un segno di irresponsabilità e sfacciataggine. Prima di rimuovere questo virus, vediamo da dove proviene, in modo da poter essere il più armati possibile per il futuro. A proposito, i banner presentano contenuti diversi, quindi ti fai prendere dal panico e invii denaro ai truffatori. Molte persone si perdono e inviano denaro, ma questo non è possibile! Allora, da dove provengono i banner ransomware?

App piratate
Naturalmente, tutti amano un omaggio, ma hai mai pensato a cosa sia realmente un omaggio? Si scopre che quando scarichiamo programmi piratati, attivatori, crack, tablet, rischiamo di contrarre un programma antivirus sul computer. Ogni download di tali file può essere fatale e portare a conseguenze negative. Per evitare di contrarre virus, utilizza i programmi ufficiali.

Download dal World Wide Web
Ogni volta che scarichi un file, c'è la possibilità che tu possa infettare il tuo PC. Ci sono molti casi in cui una persona ha scaricato un determinato file e dopo il riavvio è apparso un banner. Pertanto, consiglio di scaricare file di qualsiasi tipo da siti affidabili o consigliati, dove migliaia di visitatori scaricano ogni giorno.

Aggiornamento del lettore flash
Mentre trascorri il tuo tempo su Internet, potresti aver probabilmente visto da qualche parte un banner che dice "Il tuo lettore deve essere aggiornato" o "Il tuo lettore non è aggiornato". Sappi che è un virus! Naturalmente, se questo tipo di banner non porta al sito web di Adobe.

Ho descritto i motivi più comuni per cui un virus entra nel tuo computer. Per ridurre la probabilità che codice dannoso entri nel tuo computer, devi avere un nuovo antivirus, non dimenticartene! Ora diamo un'occhiata come rimuovere banner ransomware da un personal computer. Tuttavia, lo ripeto ancora una volta: non inviare mai i tuoi soldi a questi truffatori. È molto importante!!! Anche se lo invii, il banner non andrà da nessuna parte e i truffatori diventeranno ricchi grazie a te.

Il modo più semplice è reinstallare il sistema operativo. Ho già scritto. Tuttavia, tutti i programmi, i componenti, gli antivirus e le impostazioni installati dovranno essere reinstallati nuovamente.

Esiste un altro modo per rimuovere il banner del ransomware senza reinstallare il sistema operativo. Lo considereremo. La prima cosa che devi fare è riavviare il computer. Durante il caricamento di Windows, premere il pulsante F8.

Utilizza le frecce sulla tastiera per spostare il cursore e seleziona la sezione Modalità provvisoria con supporto riga di comando.

Successivamente, il computer dovrebbe avviarsi e vedrai il desktop. Successivamente, fai clic su Start e digita la parola regedit nella casella di ricerca Trova programmi e file.

Dopo aver inserito e premuto Invio, si aprirà il registro di Windows.

Qui è necessario controllare tutte le sezioni per la presenza di codice dannoso o virus.

È necessario verificare i seguenti valori:
Userinit: dovrebbe esserci "C:Windowssystem32userinit.exe"
Shell - "explorer.exe"
Per modificare i valori è necessario fare clic con il tasto destro sulla riga e selezionare Modifica in alto.

In questo modo puoi rimuovere semplicemente il banner del ransomware dal tuo computer. L'ultimo passaggio è riavviare il computer e godersi il desktop. Questo è tutto e fai attenzione su Internet!

Dopo aver riavviato il computer, il monitor visualizza una richiesta per inviare un SMS a pagamento o per depositare denaro su un conto del cellulare?

Ecco, ecco come appare un tipico virus ransomware! Questo virus è disponibile in migliaia di forme diverse e centinaia di varianti. Tuttavia, è facile da riconoscere da un semplice segno: ti chiede di mettere soldi (chiamare) su un numero sconosciuto e in cambio promette di sbloccare il tuo computer. Cosa fare?

Innanzitutto, renditi conto che si tratta di un virus il cui obiettivo è succhiarti quanto più denaro possibile. Ecco perché non cedere alle sue provocazioni.

Ricorda una cosa semplice, non inviare SMS. Ritireranno tutto il denaro presente sul saldo (di solito la richiesta dice 200-300 rubli). A volte richiedono l'invio di due, tre o più SMS. Ricorda, il virus non scomparirà dal tuo computer, sia che tu invii denaro ai truffatori o meno. Il trojan winloc rimarrà sul tuo computer finché non lo rimuoverai tu stesso.

Il piano d'azione è il seguente: 1. Rimuovere il blocco dal computer 2. Rimuovere il virus e curare il computer.

Modi per sbloccare il computer:

1. Inserisci il codice di sblocco E. Il modo più comune per gestire uno striscione osceno. Puoi trovare il codice qui: Dr.web, Kasperskiy, Nod32. Non preoccuparti se il codice non funziona, vai al passaggio successivo.

2. Prova ad avviare in modalità provvisoria. Per fare ciò, dopo aver acceso il computer, premere F8. Quando viene visualizzata la finestra delle opzioni di avvio, seleziona "modalità provvisoria con supporto driver" e attendi l'avvio del sistema.

2a. Ora proviamo ripristinare il sistema(start-standard-system-restore) a un checkpoint precedente. 2b. Creare un nuovo account. Vai su Start - Pannello di controllo - Account. Aggiungi un nuovo account e riavvia il computer. Quando lo accendi, seleziona l'account appena creato. Passiamo a .

3. Prova ctrl+alt+canc- Dovrebbe apparire il task manager. Lanciamo utilità di guarigione tramite il task manager. (seleziona il file - una nuova attività e i nostri programmi). Un altro modo è tenere premuto Ctrl + Maiusc + Esc e, tenendo premuti questi tasti, cercare ed eliminare tutti i processi strani fino a sbloccare il desktop.

4. Il modo più affidabile- Ciò significa installare un nuovo sistema operativo (sistema operativo). Se hai assolutamente bisogno di mantenere il vecchio sistema operativo, esamineremo un modo più dispendioso in termini di manodopera per gestire questo banner. Ma non per questo meno efficace!

Un altro modo (per utenti esperti):

5. Avvio da disco CD live che ha un programma di modifica del registro. Il sistema si è avviato, apri l'editor del registro. In esso vedremo il registro del sistema attuale e di quello infetto (i suoi rami sul lato sinistro sono visualizzati con una firma tra parentesi).

Troviamo la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - lì cerchiamo Userinit - cancelliamo tutto dopo la virgola. ATTENZIONE! Il file stesso “C:\Windows\system32\userinit.exe” NON PUÒ essere eliminato.);

Guarda il valore della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell dovrebbe essere explorer.exe. Abbiamo finito con il registro.

Se viene visualizzato l'errore "La modifica del registro è vietata dall'amministratore di sistema", scaricare il programma AVZ. Apri "File" - "Ripristino configurazione di sistema" - Seleziona "Sblocca editor del registro", quindi fai clic su "Esegui le operazioni selezionate". L'editor è di nuovo disponibile.

Lanciamo lo strumento di rimozione Kaspersky e dr.web cureit e con essi scansioniamo l'intero sistema. Non resta che riavviare e ripristinare le impostazioni del bios. Tuttavia, il virus NON è stato ancora rimosso dal computer.

Trattare il tuo computer dal Trojan WinLock

Per questo abbiamo bisogno di:
- Editor del registro di ReCleaner
- antivirus popolare Rimozione strumento Kaspersky
- il famoso antivirus Dr.web cureit
- efficace antivirus Removeit pro
- Utilità di riparazione del registro Plstfix
- Programma per rimuovere file temporanei ATF Cleaner

1. È necessario eliminare il virus dal sistema. Per fare ciò, avvia l'editor del registro. Vai a Menu - Attività - Avvia Editor del Registro di sistema. È necessario trovare:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - lì cerchiamo la sezione Userinit - cancelliamo tutto dopo la virgola. ATTENZIONE! Il file stesso “C:\Windows\system32\userinit.exe” NON PUÒ essere eliminato.);

Guarda il valore della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell dovrebbe esserci explorer.exe. Abbiamo finito con il registro.

Ora seleziona la scheda "Avvio". Esaminiamo gli elementi di avvio, selezioniamo le caselle ed eliminiamo (nell'angolo in basso a destra) tutto ciò che non hai installato, lasciando solo desktop e ctfmon.exe. I restanti processi svchost.exe e other.exe dalla directory di Windows devono essere rimossi.
Seleziona Attività - Pulisci il registro - Utilizza tutte le opzioni. Il programma eseguirà la scansione dell'intero registro ed eliminerà tutto in modo permanente.

2. Per trovare il codice stesso, abbiamo bisogno delle seguenti utilità: Kaspersky, Dr.Web e RemoveIT. Nota: RemoveIT ti chiederà di aggiornare i database delle firme antivirali. È necessario stabilire una connessione Internet durante l'aggiornamento!
Con questi programmi scansioniamo il disco di sistema ed eliminiamo tutto ciò che trovano. Se lo desideri, puoi controllare tutte le unità del computer per ogni evenienza. Ci vorrà molto più tempo, ma è più affidabile.

3. L'utilità successiva è Plstfix. Ripristina il registro dopo le nostre azioni su di esso. Di conseguenza, il task manager e la modalità provvisoria ricominceranno a funzionare.

4. Per ogni evenienza, elimina tutti i file temporanei. Spesso in queste cartelle sono nascoste copie del virus. In questo modo anche gli antivirus più noti potrebbero non rilevarli. È meglio rimuovere manualmente tutto ciò che non influirà in modo significativo sul funzionamento del sistema. Installa ATF Cleaner, contrassegna tutto ed eliminalo.

5. Riavviare il sistema. Funziona tutto! ancora meglio di prima :).

mob_info