Usuwanie banera ransomware z Windows 7. Jak pozbyć się banera ransomware? Metody odblokowania komputera

Trojany Winlocker to rodzaj złośliwego oprogramowania, które blokując dostęp do pulpitu, wyłudza od użytkownika pieniądze - rzekomo jeśli przeleje wymaganą kwotę na konto atakującego, otrzyma on kod odblokowujący.

Jeśli po włączeniu komputera zamiast pulpitu zobaczysz:

Lub coś innego w tym samym duchu - z groźnymi napisami, a czasem z nieprzyzwoitymi obrazami, nie spiesz się z oskarżaniem swoich bliskich o wszelkie grzechy. Oni, a może i ty, staliście się ofiarami oprogramowania ransomware trojan.winlock.

W jaki sposób programy blokujące oprogramowanie ransomware dostają się do Twojego komputera?

Najczęściej programy blokujące dostają się do Twojego komputera w następujący sposób:

• poprzez zhakowane programy, a także narzędzia do hakowania płatnego oprogramowania (łamania zabezpieczeń, generatory kluczy itp.);
• pobierane za pośrednictwem linków z wiadomości w sieciach społecznościowych, wysyłanych rzekomo przez znajomych, ale w rzeczywistości przez osoby atakujące ze zhakowanych stron;
• pobierane z phishingowych zasobów internetowych, które imitują dobrze znane witryny, ale w rzeczywistości są tworzone specjalnie w celu rozprzestrzeniania wirusów;
• przyjdźcie e-mailem w formie załączników do listów o intrygującej treści: „został Pan pozwany…”, „zostaliście sfotografowani na miejscu zbrodni”, „wygraliście milion” i tym podobne.

Uwaga! Banery pornograficzne nie zawsze są pobierane ze stron pornograficznych. Mogą to zrobić od najzwyklejszych.

W ten sam sposób rozprzestrzenia się inny rodzaj ransomware - programy blokujące przeglądarkę. Na przykład tak:

Żądają pieniędzy za dostęp do przeglądania sieci za pośrednictwem przeglądarki.

Jak usunąć baner „Windows zablokowany” i podobne?

Jeśli Twój pulpit jest zablokowany, a baner wirusowy uniemożliwia uruchomienie jakichkolwiek programów na Twoim komputerze, możesz wykonać następujące czynności:

• przejdź do trybu awaryjnego z obsługą wiersza poleceń, uruchom edytor rejestru i usuń klucze autorun bannera.
• uruchom komputer z Live CD („dysk „na żywo”), na przykład dowódcy ERD, i usuń baner z komputera zarówno poprzez rejestr (klucze autorun), jak i przez Eksplorator (pliki).
• przeskanuj system z dysku startowego programem antywirusowym, na przykład Dr.Web LiveDisk lub Dysk ratunkowy Kaspersky 10.

Metoda 1. Usuwanie Winlockera z trybu awaryjnego z obsługą konsoli.

Jak więc usunąć baner z komputera za pomocą wiersza poleceń?

Na komputerach z systemem Windows XP i 7 przed uruchomieniem systemu należy szybko nacisnąć klawisz F8 i wybrać zaznaczony element z menu (w Windows 8\8.1 nie ma tego menu, więc będziesz musiał uruchomić komputer z instalacji dysku i stamtąd uruchom wiersz poleceń).

Zamiast pulpitu otworzy się przed tobą konsola. Aby uruchomić edytor rejestru, wpisz w nim polecenie regedit i naciśnij Enter.

Następnie otwórz edytor rejestru, znajdź w nim wpisy wirusów i napraw je.

Najczęściej banery ransomware rejestrowane są w następujących sekcjach:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- tutaj zmieniają wartości parametrów Shell, Userinit i Uihost (ostatni parametr jest dostępny tylko w Windows XP). Musisz je naprawić, aby były normalne:

• Powłoka = Explorer.exe
• Userinit = C:\WINDOWS\system32\userinit.exe, (C: to litera partycji systemowej. Jeśli system Windows znajduje się na dysku D, ścieżka do Userinit będzie zaczynać się od D:)
• Uihost = LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- zobacz parametr AppInit_DLLs. Zwykle może być nieobecny lub mieć pustą wartość.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- tutaj ransomware tworzy nowy parametr z wartością w postaci ścieżki do pliku blokującego. Nazwa parametru może być ciągiem liter, na przykład dkfjghk. Należy go całkowicie usunąć.

To samo dotyczy następujących sekcji:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Aby poprawić klucze rejestru, kliknij parametr prawym przyciskiem myszy, wybierz „Zmień”, wprowadź nową wartość i kliknij OK.

Następnie uruchom ponownie komputer w trybie normalnym i uruchom skanowanie antywirusowe, które usunie wszystkie pliki oprogramowania ransomware z dysku twardego.

Metoda 2. Usuwanie Winlockera za pomocą Dowódcy ERD.

ERD Commander zawiera duży zestaw narzędzi do przywracania systemu Windows, w tym także tych uszkodzonych w wyniku blokowania trojanów. Korzystając z wbudowanego edytora rejestru ERDregedit, możesz wykonać te same operacje, które opisaliśmy powyżej.

Dowódca ERD będzie niezbędny, jeśli Windows jest zablokowany we wszystkich trybach. Jej kopie są rozpowszechniane nielegalnie, ale łatwo je znaleźć w Internecie.

Zestawy poleceń ERD dla wszystkich wersji systemu Windows nazywane są dyskami rozruchowymi MSDaRT (Microsoft Diagnostic & Recovery Toolset) i są dostępne w formacie ISO, który jest wygodny do nagrywania na DVD lub przesyłania na dysk flash.

Po uruchomieniu z takiego dysku należy wybrać posiadaną wersję systemu, przejść do menu i kliknąć Edytor rejestru.

W systemie Windows XP procedura jest nieco inna - tutaj należy otworzyć menu Start, wybrać Narzędzia administracyjne i Edytor rejestru.

Po edycji rejestru uruchom ponownie system Windows - najprawdopodobniej nie zobaczysz banera „Komputer jest zablokowany”.

Metoda 3. Usunięcie blokady za pomocą „dysku ratunkowego” programu antywirusowego.

To najłatwiejsza, ale i najdłuższa metoda odblokowania. Wystarczy nagrać obraz Dr.Web LiveDisk lub Kaspersky Rescue Disk na DVD, uruchomić z niego komputer, rozpocząć skanowanie i poczekać na jego zakończenie. Wirus zostanie zabity.

Usuwanie banerów z komputera przy użyciu dysków Dr.Web i Kaspersky jest równie skuteczne.

Jak chronić komputer przed blokerami?

• Zainstaluj niezawodny program antywirusowy i utrzymuj go aktywnym przez cały czas.
• Przed uruchomieniem sprawdź wszystkie pliki pobrane z Internetu pod kątem bezpieczeństwa.
• Nie klikaj nieznanych linków.
• Nie otwieraj załączników do wiadomości e-mail, zwłaszcza tych, które przychodzą w listach z intrygującym tekstem. Nawet od znajomych.
• Śledź, jakie strony odwiedzają Twoje dzieci. Użyj kontroli rodzicielskiej.
• Jeśli to możliwe, nie korzystaj z pirackiego oprogramowania - wiele płatnych programów można zastąpić bezpiecznymi, darmowymi.

Jak pozbyć się banera

Mając ogromne poczucie wdzięczności dla naszego czytelnika za link do strony z wirusami, na której mój komputer mógłby zostać zainfekowany banerem ransomware, wyłączyłem program antywirusowy i pewne zabezpieczenia, które zostaną omówione poniżej, i skorzystałem z tego linku. Otworzyła się strona, na której udało mi się zobaczyć jedynie zarys gitary, dosłownie sekundę później, uruchomił się kod wirusowy osadzony na stronie głównej tej witryny, czyli javascript, a mój pulpit został zablokowany przez baner ransomware, ja nawet nie miałem czasu w nic kliknąć (oczywiście nie podam linku do strony z wirusem, administracja tej strony, później napisałem list i wirus został usunięty ze strony, ale ogólnie w życiu wszystko może się zdarzyć, żadna strona nie jest w 100% odporna na ataki hakerskie).

Cóż, teraz szczegółowa historia o jak pozbyć się banera, jeśli już go złapałeś. Podane informacje dotyczą systemów operacyjnych Windows Vista, .

Pierwszą rzeczą, którą zrobimy, będzie wejście na strony internetowe wiodących firm antywirusowych, które świadczą usługi odblokowania Twojego komputera przed banerem ransomware.

1. Dr.Web https://www.drweb.com/xperf/unlocker
2. NOD32 http://www.esetnod32.ru/.support/winlock
3. Kaspersky Lab http://sms.kaspersky.ru

Niestety nie udało mi się znaleźć kodu odblokowującego; najwyraźniej wirus został napisany niedawno.
Drugą rzeczą, którą możesz spróbować, jest ponowne uruchomienie komputera i podczas ładowania naciśnij F-8, chodźmy do Rozwiązywanie problemów, dzieje się tak, jeśli masz zainstalowany system Windows 7; w systemie operacyjnym Windows XP przejdź od razu do trybu awaryjnego z obsługą wiersza poleceń (przeczytaj, co zrobić poniżej).

Witajcie drodzy czytelnicy bloga.Od dłuższego czasu chciałem napisać artykuł o tym, jak usunąć wirusa ransomware (Winlocker), który blokuje logowanie do komputera.
Najczęściej z tym problemem spotykają się niedoświadczeni użytkownicy, którzy przez przypadek lub przez swoje zaniedbanie stali się ofiarami oszustów. Ze względu na swój brak doświadczenia wiele osób wysyła SMS-y w celu odblokowania banera w nadziei, że otrzymają kod i wydadzą dużo pieniędzy, zanim stanie się jasne, że jest to tylko wirus ransomware, który zainfekował Twój komputer, z którym można walczyć bez inwestowania pieniędzy .

Od razu powiem, że pod żadnym pozorem nie płać oszustom, wszystko, co jest napisane na takim banerze SMS-owym, to czyste oszustwo. Nawet jeśli zdecydujesz się pójść po najmniejszej linii oporu i zapłacisz, nie jest faktem, że to rozwiąże Twój problem.

Nie należy też uciekać się do ostateczności - nie instaluj ponownie systemu. Każdy szkodliwy program można usunąć w prosty sposób i bez konsekwencji. Ponowna instalacja systemu może wiązać się z całkowitym usunięciem wszystkich niezbędnych informacji. Możesz z niego skorzystać tylko wtedy, gdy na Twoim komputerze nie ma nic wartościowego.

Wpływ oprogramowania ransomware na Twój system

Winlocker całkowicie zawiesza system operacyjny i blokuje dostęp do programów uruchamiających oraz pulpitu. Wirus ransomware blokuje dostęp do menedżera zadań i uruchamia się natychmiast po rozpoczęciu ładowania systemu Windows. Czasami zdarza się, że złośliwy program uniemożliwia uruchomienie systemu w trybie awaryjnym, w takiej sytuacji rozwiązanie problemu będzie znacznie trudniejsze.

Kiedy program wirusowy przedostaje się na urządzenie, zapisuje się kilka razy w różnych miejscach, co utrudnia jego identyfikację, a tym bardziej usunięcie.

Powiem Ci kilka słów o tym, dlaczego zachodzi taka sytuacja. Najczęściej pojawienie się tego typu wirusa można zaobserwować na komputerach, na których nie ma ochrony antywirusowej. Aby chronić swoje urządzenie przed złośliwym oprogramowaniem, radzę przeczytać artykuł . Musisz także zrozumieć, że na stronach internetowych należy zachować szczególną ostrożność i nie klikać nieznanych linków. Nadal istnieje bardzo duże prawdopodobieństwo zarażenia się taką infekcją po pobraniu i zainstalowaniu programu z niezweryfikowanego zasobu. Pracując w Internecie, nie zapomnij o zabezpieczeniu swojego komputera, najmniejsza czujność pomoże uniknąć dalszych problemów.

Pamiętaj o konserwacji komputera, aktualizacji programu antywirusowego i okresowym skanowaniu urządzenia w poszukiwaniu złośliwego oprogramowania (możesz ustawić automatyczne skanowanie w określonym dniu i godzinie). Jeśli będziesz przestrzegać prostych zasad, możesz uniknąć infekcji.

Jeśli więc nadal decydujesz się na samodzielne uporanie się z tym problemem, przyjrzyjmy się kilku opcjom odblokowania wirusa ransomware. Zaczniemy od najprostszej metody i stopniowo będziemy przechodzić do bardziej złożonej. Jeśli któraś z opcji Ci pomoże, trzymaj się jej.

Uruchamianie poleceń z wiersza poleceń

Niedawno dowiedziałem się o istnieniu najprostszej metody, ale nie jest ona w stanie rozwiązać problemu na wszystkich komputerach.

Pierwszą rzeczą, którą musimy zrobić, to . Ponownie uruchamiamy komputer i okresowo naciskamy klawisz F8 podczas ładowania. Jeśli wszystko zrobiłeś poprawnie, powinieneś zobaczyć menu dodatkowych opcji uruchamiania systemu Windows. W tym menu wybierz opcję uruchomienia systemu Tryb awaryjny z obsługą wiersza poleceń i naciśnij Enter. Po załadowaniu pojawi się tylko linia poleceń bez pulpitu i znajdujących się na nim skrótów i ikon. Wprowadź kolejno następujące polecenia

• zespół czystymgr– Narzędzie Cleanmgr.exe służy do usuwania niepotrzebnych i nieaktualnych plików;
• zespół rstrui– polecenie rozpoczęcia odzyskiwania systemu (to polecenie zadziała tylko wtedy, gdy nie wyłączyłeś go w ustawieniach systemu).

Po sekwencyjnym wprowadzaniu poleceń uruchamiamy ponownie komputer i sprawdzamy obecność banera. Jeśli go brakuje, ta metoda nam pomogła, jeśli nie, przejdź do następnej.

Usuwanie blokady przy uruchomieniu

Podobnie jak w pierwszym sposobie uruchamiamy urządzenie i wciskamy klawisz F8, aby załadować menu dodatkowych opcji. Następnie wybierz element Tryb bezpieczeństwa i naciśnij Enter. Funkcję Uruchom uruchamiamy poprzez menu Start lub naciskając jednocześnie klawisze Ctrl+R i w polu wykonać wprowadź polecenie msconfig. Spowoduje to otwarcie okna opcji uruchamiania systemu Windows. Otwórz zakładkę Uruchamianie i spróbuj znaleźć podejrzane programy.

Najczęściej nazwa takich programów składa się z losowego zestawu liter. Jeśli znalazłeś taki program, odznacz pole obok niego. Musisz także sprawdzić, w jakim folderze jest przechowywany, i usunąć go. Przed wykonaniem tych czynności radzę przeczytać materiały w artykule.

Po zakończeniu operacji uruchom ponownie komputer i sprawdź, czy problem został rozwiązany. Jeśli wirus SMS w dalszym ciągu odmawia dostępu, przejdź do następnej metody.

Czyszczenie rejestru ze śladów banera

Jeżeli doszedłeś do tego punktu i poprzednie próby poszły na marne, to ta metoda powinna pomóc Ci odblokować wirusa ransomware w 98%.

Pragnę zauważyć, że wszystkie wymienione poniżej czynności należy wykonać niezwykle ostrożnie i ściśle według instrukcji. Edytując klucze rejestru, nieprawidłowe działania mogą spowodować nieodwracalne szkody w systemie i pozostaje jedynie ponowna instalacja systemu Windows.

Uruchommy więc system w trybie awaryjnym; jak to zrobić, opisano powyżej. Czekamy na pobranie i uruchamiamy opcję „Uruchom” w polu okna, które zostanie otwarte, wprowadź polecenie regedit. Po wprowadzeniu polecenia otworzy się przed tobą okno Edytora rejestru.

Następnie przejdź do następującej ścieżki HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

W prawej kolumnie będziesz mógł zobaczyć dwa parametry Shell i Userinit. Naprzeciwko tych parametrów znajduje się kolumna wartości. W tych kolumnach nie powinno być nic zbędnego (naprzeciwko parametru Shell powinna znajdować się wartość explorer.exe, naprzeciw Userinit wartość userinit.exe). Jeśli są tam dodatkowe wartości, jest to wynik działania wirusa i możesz bezpiecznie wszystko usunąć.

Ponadto, dla uspokojenia sumienia, radzę udać się pod następujący adres w ustawieniach rejestru ….. \ Microsoftu\ Okna\ Obecna wersja\ Uruchomić
i sprawdź, czy w prawym polu okna nie znajdują się jakieś niepotrzebne lub nieznane programy, a jeśli jakieś znajdziesz, usuń je.

Uruchom ponownie komputer i ciesz się, że wirus zniknął.

Mam niemal stuprocentową pewność, że jeśli wszystko zostanie wykonane poprawnie, baner blokujący uruchomienie Windowsa zniknie. Ale na wszelki wypadek podam inny sposób na usunięcie oprogramowania ransomware. Oczywiście nie jest tak poważny jak inne, ale czasami jest nie mniej skuteczny.

Konwersja daty w Biosie

Po uruchomieniu systemu przejdź do Bios i zmień datę i godzinę na tydzień wcześniej. Zdarza się, że baner znika, ale zdarza się to bardzo rzadko.

Po pozbyciu się blokady systemu Windows pamiętaj o przeskanowaniu komputera w poszukiwaniu złośliwego oprogramowania. Należy wykonać pełne skanowanie, a nie szybkie. Trzeba także pomyśleć o wysokiej jakości ochronie swojego urządzenia. Jeżeli nie masz pieniędzy na płatny antywirus np. to możesz pobrać darmowy antywirus o nazwie.

Ostatnim krokiem będzie sprawdzenie komputera pod kątem złośliwego oprogramowania. Istnieje do tego kilka darmowych programów, które omówię w kolejnych artykułach na moim blogu.

Naprawdę mam nadzieję, że pomogłem Ci dowiedzieć się, jak usunąć baner ransomware, ale jeśli masz jakieś pytania, możesz je zadać w komentarzach, a chętnie spróbuję pomóc.

Cześć wszystkim! Dzisiaj postanowiłem napisać artykuł z komputera. Każdego dnia w Internecie pojawia się coraz więcej oszustów. Dlatego wzrasta ryzyko infekcji komputera. Wirusy ransomware są obecnie bardzo powszechne, blokują Twój pulpit i wyłudzają pieniądze. Oczywiste jest, że nie zapłacimy za to pieniędzy, ale oczyścimy komputer z tej infekcji.

Uważam, że banery ransomware są oznaką nieodpowiedzialności i bezczelności. Zanim usuniemy tego wirusa, przyjrzyjmy się, skąd się wziął, abyśmy mogli być jak najbardziej uzbrojeni na przyszłość. Nawiasem mówiąc, banery mają różną treść, co powoduje większą panikę i wysyłanie pieniędzy oszustom. Wiele osób gubi się i wysyła pieniądze, ale nie da się tego zrobić! Skąd więc pochodzą banery ransomware?

Pirackie aplikacje
Oczywiście wszyscy kochają gratisy, ale czy kiedykolwiek zastanawiałeś się, czym właściwie jest gratis? Okazuje się, że pobierając pirackie programy, aktywatory, cracki, tablety ryzykujemy złapaniem programu wirusowego na komputerze. Każde pobranie takich plików może być śmiertelne i prowadzić do złych konsekwencji. Aby uniknąć złapania wirusów, korzystaj z oficjalnych programów.

Pobieranie z sieci WWW
Za każdym razem, gdy pobierasz jakiekolwiek pliki, istnieje ryzyko zainfekowania komputera. W wielu przypadkach osoba pobrała określony plik, a po ponownym uruchomieniu pojawił się baner. Dlatego polecam pobieranie wszelkiego rodzaju plików z zaufanych lub polecanych witryn, z których codziennie pobierają tysiące odwiedzających.

Aktualizacja Flash Playera
Spędzając czas w Internecie, być może widziałeś gdzieś baner z informacją „Twój odtwarzacz wymaga aktualizacji” lub „Twój odtwarzacz jest nieaktualny”. Wiedz - to wirus! Oczywiście jeśli tego rodzaju baner nie prowadzi do strony Adobe.

Opisałem najczęstsze przyczyny przedostania się wirusa na Twój komputer. Aby zmniejszyć prawdopodobieństwo przedostania się złośliwego kodu na Twój komputer, musisz mieć świeży program antywirusowy, nie zapomnij o tym! Teraz spójrzmy jak usunąć ransomware banner z komputera osobistego. Powtarzam jednak jeszcze raz – nigdy nie wysyłaj pieniędzy tym oszustom. To jest bardzo ważne!!! Nawet jeśli go wyślesz, baner nigdzie nie trafi, a oszuści wzbogacą się dzięki Tobie.

Najprostszym sposobem jest ponowna instalacja systemu operacyjnego. Już napisałem. Jednak wszystkie zainstalowane programy, komponenty, program antywirusowy i ustawienia będą musiały zostać ponownie zainstalowane.

Istnieje inny sposób usunięcia banera ransomware bez konieczności ponownej instalacji systemu operacyjnego. Rozważymy to. Pierwszą rzeczą, którą musisz zrobić, to ponownie uruchomić komputer. Podczas ładowania systemu Windows naciśnij przycisk F8.

Użyj strzałek na klawiaturze, aby przesunąć kursor i wybierz sekcję Tryb awaryjny z obsługą wiersza poleceń.

Następnie komputer powinien się uruchomić i zobaczysz pulpit. Następnie kliknij Start i wpisz słowo regedit w polu wyszukiwania Znajdź programy i pliki.

Po wprowadzeniu i naciśnięciu Enter otworzy się rejestr systemu Windows.

Tutaj musisz sprawdzić wszystkie sekcje pod kątem obecności złośliwego kodu lub wirusa.

Musisz sprawdzić następujące wartości:
Userinit — powinno być „C:Windowssystem32userinit.exe”
Powłoka - „explorer.exe”
Aby zmienić wartości, kliknij linię prawym przyciskiem myszy i wybierz opcję Edytuj u góry.

W ten sposób możesz po prostu usunąć baner ransomware ze swojego komputera. Ostatnim krokiem jest ponowne uruchomienie komputera i cieszenie się pulpitem. To wszystko i bądź ostrożny w Internecie!

Po ponownym uruchomieniu komputera na monitorze pojawia się prośba o wysłanie płatnego SMS-a lub wpłatę pieniędzy na konto telefonu komórkowego?

Poznaj to, tak wygląda typowy wirus ransomware! Wirus ten występuje w tysiącach różnych postaci i setkach odmian. Łatwo go jednak rozpoznać po prostym znaku: prosi o wpłatę (zadzwonienie) na nieznany numer, a w zamian obiecuje odblokować komputer. Co robić?

Po pierwsze, zdaj sobie sprawę, że jest to wirus, którego celem jest wyssanie z Ciebie jak największej ilości pieniędzy. Dlatego nie poddawaj się jego prowokacjom.

Pamiętaj o prostej rzeczy: nie wysyłaj żadnych SMS-ów. Wycofują wszystkie pieniądze, które są na saldzie (zwykle na wniosku jest napisane 200-300 rubli). Czasami wymagają wysłania dwóch, trzech lub więcej SMS-ów. Pamiętaj, że wirus nie zniknie z Twojego komputera, niezależnie od tego, czy wyślesz pieniądze oszustom, czy nie. Trojan winloc pozostanie na Twoim komputerze, dopóki sam go nie usuniesz.

Plan działania jest następujący: 1. Usuń blokadę z komputera. 2. Usuń wirusa i wylecz komputer.

Sposoby odblokowania komputera:

1. Wprowadź kod odblokowujący I. Najczęstszy sposób radzenia sobie z nieprzyzwoitym banerem. Kod znajdziesz tutaj: Dr.web, Kasperskiy, Nod32. Nie martw się, jeśli kod nie działa, przejdź do następnego kroku.

2. Spróbuj uruchomić komputer w trybie awaryjnym. Aby to zrobić, po włączeniu komputera naciśnij klawisz F8. Gdy pojawi się okno opcji rozruchu, wybierz „tryb awaryjny ze obsługą sterowników” i poczekaj na uruchomienie systemu.

2a. Teraz spróbujmy przywrócić system(start-standard-system-restore) do wcześniejszego punktu kontrolnego. 2b. Stwórz nowe konto. Przejdź do Start – Panel sterowania – Konta. Dodaj nowe konto i uruchom ponownie komputer. Po włączeniu wybierz nowo utworzone konto. Przejdźmy dalej.

3. Spróbuj ctrl+alt+del- powinien pojawić się menedżer zadań. Uruchamiamy narzędzia lecznicze za pośrednictwem menedżera zadań. (wybierz plik - nowe zadanie i nasze programy). Innym sposobem jest przytrzymanie Ctrl + Shift + Esc i trzymając te klawisze, wyszukaj i usuń wszystkie dziwne procesy, aż do odblokowania pulpitu.

4. Najbardziej niezawodny sposób- Oznacza to instalację nowego systemu operacyjnego (systemu operacyjnego). Jeśli koniecznie musisz zachować stary system operacyjny, rozważymy bardziej pracochłonny sposób poradzenia sobie z tym banerem. Ale nie mniej skuteczne!

Inny sposób (dla zaawansowanych użytkowników):

5. Bootowanie z dysku LiveCD który ma program do edycji rejestru. System został uruchomiony, otwórz edytor rejestru. Zobaczymy w nim rejestr bieżącego systemu i zainfekowanego (jego gałęzie po lewej stronie są wyświetlane z podpisem w nawiasach).

Znajdujemy klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon – tam szukamy Userinit – usuwamy wszystko po przecinku. UWAGA! NIE MOŻNA usunąć samego pliku „C:\Windows\system32\userinit.exe”.);

Sprawdź wartość klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, powinna to być explorer.exe. Skończyliśmy z rejestrem.

Jeżeli pojawi się błąd „Edycja rejestru zabroniona przez administratora systemu”, pobierz program AVZ. Otwórz „Plik” - „Przywracanie systemu” - Zaznacz „Odblokuj edytor rejestru”, a następnie kliknij „Wykonaj wybrane operacje”. Edytor jest ponownie dostępny.

Uruchamiamy narzędzie do usuwania Kaspersky i dr.web curit i skanujemy nimi cały system. Pozostaje tylko zrestartować komputer i przywrócić ustawienia BIOS-u. Jednak wirus NIE został jeszcze usunięty z komputera.

Leczenie komputera przed trojanem WinLock

Do tego potrzebujemy:
- Edytor rejestru ReCleaner
- popularny program antywirusowy Usuwanie narzędzia Kaspersky
- słynny program antywirusowy Dr.web
- skuteczny program antywirusowy Removeit pro
- Narzędzie do naprawy rejestru Plstfix
- Program do usuwania plików tymczasowych ATF Cleaner

1. Konieczne jest pozbycie się wirusa z systemu. Aby to zrobić, uruchom edytor rejestru. Przejdź do Menu - Zadania - Uruchom Edytor rejestru. Trzeba znaleźć:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon – tam szukamy sekcji Userinit – usuwamy wszystko po przecinku. UWAGA! NIE MOŻNA usunąć samego pliku „C:\Windows\system32\userinit.exe”.);

Spójrz na wartość klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, tam powinien być explorer.exe. Skończyliśmy z rejestrem.

Teraz wybierz zakładkę „Uruchamianie”. Przeglądamy elementy startowe, zaznaczamy pola i usuwamy (w prawym dolnym rogu) wszystko, czego nie zainstalowałeś, pozostawiając tylko pulpit i ctfmon.exe. Należy usunąć pozostałe procesy svchost.exe i other.exe z katalogu Windows.
Wybierz Zadanie - Wyczyść rejestr - Użyj wszystkich opcji. Program przeskanuje cały rejestr i usunie wszystko trwale.

2. Aby znaleźć sam kod, potrzebujemy następujących narzędzi: Kaspersky, Dr.Web i RemoveIT. Uwaga: RemoveIT poprosi Cię o aktualizację baz sygnatur wirusów. Podczas aktualizacji konieczne jest ustanowienie połączenia internetowego!
Za pomocą tych programów skanujemy dysk systemowy i usuwamy wszystko, co znajdą. Jeśli chcesz, możesz na wszelki wypadek sprawdzić wszystkie dyski komputera. Zajmie to znacznie dłużej, ale jest bardziej niezawodne.

3. Kolejnym narzędziem jest Plstfix. Przywraca rejestr po naszych działaniach na nim. W rezultacie menedżer zadań i tryb awaryjny zaczną ponownie działać.

4. Na wszelki wypadek usuń wszystkie pliki tymczasowe. Często kopie wirusa są ukryte w tych folderach. W ten sposób nawet dobrze znane programy antywirusowe mogą ich nie wykryć. Lepiej ręcznie usunąć wszystko, co nie będzie miało znaczącego wpływu na działanie systemu. Zainstaluj ATF Cleaner, zaznacz wszystko i usuń.

5. Uruchom ponownie system. Wszystko działa! jeszcze lepiej niż wcześniej :).