Cum să scapi de bannerul ransomware. Cum să deblochezi Windows de virusul ransomware

Cum să scapi de un banner

Cu un imens sentiment de recunoștință față de cititorul nostru pentru acest link către un site de viruși unde computerul meu ar putea fi infectat cu un banner ransomware, mi-am dezactivat antivirusul și o anumită protecție, care vor fi discutate mai jos, și am urmat acest link. S-a deschis un site în care am reușit să văd doar conturul unei chitare, literalmente o secundă mai târziu, codul viral încorporat în pagina principală a acestui site, care este javascript, a fost declanșat și desktopul meu a fost blocat de un banner ransomware, am nici nu am avut timp sa dau click pe nimic (Desigur, nu va dau link catre un site cu virus, administrarea acestui site, ulterior am scris o scrisoare si virusul a fost eliminat de pe site, dar în general, orice se poate întâmpla în viață, niciun site nu este 100% imun la hacking).

Ei bine, acum o poveste detaliată despre cum să scapi de un banner, dacă l-ai prins deja. Informațiile furnizate sunt potrivite pentru sistemele de operare, Windows Vista, .

Primul lucru pe care îl vom face este să mergem pe site-urile web ale companiilor de antivirus de top care oferă servicii pentru a vă debloca computerul de la bannerul ransomware.

  1. Dr.Web https://www.drweb.com/xperf/unlocker
  2. NOD32 http://www.esetnod32.ru/.support/winlock
  3. Kaspersky Lab http://sms.kaspersky.ru

Din păcate, nu am putut găsi codul de deblocare, se pare că virusul a fost scris recent.
Al doilea lucru pe care îl puteți încerca este să reporniți computerul și la încărcare apăsați F-8, să mergem la Depanare, asta dacă aveți Windows 7 instalat în sistemul de operare Windows XP, treceți direct în modul sigur cu suport pentru linia de comandă (citiți mai jos ce să faceți).

În prezent trăim în era computerului. Acum există un computer în fiecare casă și birou, și nici măcar unul singur. Calculatoarele sunt folosite pentru educație și divertisment. Iar dacă ai internet, poți să plătești utilități și să faci un transfer bancar. Este într-adevăr foarte convenabil și ne face viața mult mai ușoară. Și totul ar fi bine dacă s-ar apela la crime criminalitatea cibernetică, stricându-ne starea de spirit și uşurându-ne portofelul :-).

Să aruncăm o privire mai atentă la ce este și cum putem lupta cu ea.

Sisteme electronice de plată Webmoney, Qiwi, Yandex money și altele - cu toții le-am folosit și le-am apreciat capacitățile. Unele dintre ele sunt mai sigure și au un link către un anumit computer, dublă autentificare prin SMS și o aplicație mobilă instalată pe smartphone sau tabletă. Unele sunt mai puțin sigure și stochează parolele salvate direct în browser, de unde, dacă doriți cu adevărat, le puteți copia și obține acces la contul dvs. Pentru a preveni acest lucru, trebuie să vă protejați computerul folosind programe antivirus.

De aceea, Ar trebui să aveți întotdeauna un program antivirus instalat pe computer cu cele mai recente actualizări!


Pentru majoritatea manechinelor, va fi suficient să instalați antivirusul gratuit Avast. Cel puțin ceva mai degrabă decât nimic.

Să ne uităm la situația când sunteți pe computer nici un antivirus. Ce înseamnă acest lucru? Chiar și utilizarea internetului timp de două până la trei ore cu un antivirus dezinstalat sau dezactivat vă va oferi o probabilitate mare de a „prelua” malware de pe Internet. În ce scop sunt scrise aceste programe? Iar scopul este simplu: un infractor, când se confruntă cu răspunderea penală pentru asta, nu va distribui viruși dacă nu are un venit semnificativ din asta... La fel și virușii. În ultima vreme au fost scrise cu scopul de a vă lua banii. ascuns sau evident moduri.

troieni

Cu o metodă ascunsă Un program rău intenționat, așa-numitul troian, este instalat pe computer. Pătrunde printr-o vulnerabilitate a computerului, de exemplu, atunci când firewall-ul este dezactivat sau când accesează un anumit grup de site-uri. Cel mai adesea acestea includ site-uri cu conținut erotic. Cu o metodă explicită pentru a lua bani, tu însuți transferi bani pentru deblocarea computerului într-un fel sau altul în contul infractorilor. Mai mult, este posibil să nu existe de fapt o deblocare, deoarece după transferul banilor infractorii pur și simplu nu vor fi interesați de tine.

Am decis să fac un experiment riscant). Mi-am actualizat baza de date antivirus și am mers pe un site evident suspect pentru a vă arăta cum arată. Ni se oferă imediat să descărcam un fișier de driver necunoscut, chiar și fără a specifica modelul camerei web.


Numele site-ului este vizibil în captură de ecran și nu are nicio semnificație semantică. Cel mai probabil, acest lucru a fost făcut în mod deliberat pentru a asocia acest site după nume cu cât mai multe interogări ale motorului de căutare, astfel încât să nu puteți observa discrepanța dintre subiecte. Mai mult, pe ecran vedem un număr mare de persoane care le-au descărcat și le-ar fi mulțumit.

Site-uri de înșelătorie

Foarte des, când căutăm, vedem imitații de pagini de forum cu un nume neclar și o ofertă de a descărca fișierul de care avem nevoie. Urmează o întrebare a „utilizatorului”: ei cer să trimită un SMS pentru a descărca acest fișier. Ei îi explică bucuroși că aceasta este protecție împotriva roboților, totul a fost verificat, nu vă faceți griji



Desigur, după ce trimiteți un SMS care se dovedește a fi plătit, o sumă ordonată va fi retrasă din contul dvs. sub pretextul fragil de a oferi servicii de divertisment sau informare.

De asemenea, nu instalați niciodată diferite tipuri de Bare de instrumente pe computer, în ciuda tuturor avantajelor acestei instalări, pe care autorii cu experiență special angajați v-o vor descrie colorat:


Este mai bine să vă abțineți de la vizitarea site-urilor dacă vedem acest avertisment:


Deși este posibil, aceasta este doar reasigurare de la programatorii Yandex. Acest lucru este valabil și pentru diferite extensii din surse neverificate. Sub pretextul acestui lucru, sunt adesea ascunse tot felul de viruși.

Bannere

Să vedem cum se infectează un computer cu un antivirus instalat, dar nu cu cele mai recente baze de date și firewall activate?

Cel mai adesea, un utilizator neexperimentat descarcă software rău intenționat pe computerul său fără să știe. Poate fi deghizat în orice, de exemplu, ca un utilitar sau driver cu o arhivă autoextractabilă cu extensia *.exe, sau chiar, așa cum sa întâmplat cu șeful meu, ca o scrisoare importantă, presupusă de la o instanță de arbitraj. Iată cum arată unul dintre posibilele bannere ransomware care pot apărea pe desktop:


Oamenii de afaceri au adesea multe probleme. După ce și-au pierdut mințile, ei descarcă imediat atașamentul de pe e-mail și îl deschid. Mai mult, în acest caz dosarul se numea „Scrisoare”. Și până și icoana era sub formă de plic. Pentru persoanele cu studii reduse în domeniul informatic, acest lucru este, din păcate, suficient. Este extensia de fișier non-standard și pictograma acesteia care ne va alerta pe noi, utilizatorii mai experimentați.


După aceea, pe desktop a apărut un banner cu numele Watnik 91


Nu este clar pe cine urmau să inducă în eroare în acest fel, se pare că asta este tot ceea ce era în stare imaginația lor.

Așadar, pe acest banner era tipărit text că toate fișierele dvs. cu extensia DOC, PDF, XLS, JPEG și, eventual, unele altele au fost criptate. Am reușit să le decriptăm, dar abia după două săptămâni de corespondență și trimiterea mostrelor de fișiere criptate către un site special pentru a oferi asistență ajutoarelor.

Eliminarea unui banner folosind AntiSMS

Am mai întâlnit bannere ransomware. Pentru acest caz, am un disc de boot numit Anti SMS, special creat pentru a combate bannerele ransomware. Este foarte ușor să lucrezi cu el. Este suficient să apăsați tasta BIOS de mai multe ori în primele 5 secunde de la pornirea computerului. Pentru diferite versiuni de plăci de bază, acestea sunt taste diferite, de exemplu Ștergere, F2, F11 și altele, consultați instrucțiunile de pe ecranul monitorului imediat după pornirea computerului.



După ce versiunea redusă a sistemului de operare (sistemul de operare) este încărcată în memoria RAM a computerului, trebuie să apăsăm doar un buton-pictogramă de pe ecranul monitorului și să așteptăm un mesaj că computerul a fost curățat. Pornirea automată a computerului în care se înregistrează virusul va fi ștearsă. După repornirea computerului, vom vedea că bannerul ransomware a dispărut.


Disc de pornire sau flash

Ce trebuie să faceți dacă computerul dvs. este infectat, există un banner similar pe ecran care blochează accesul la Internet și funcționarea computerului și nu aveți un astfel de disc? Ei bine, te-ai dovedit a fi nepregătit pentru o astfel de întorsătură a evenimentelor!?

Apoi puteți porni de pe un disc Linux Live Cd, de exemplu Ubuntu sau Runtu, cu suport implicit pentru acces la Internet prin Ethernet. Cei care sunt în subiect vor înțelege


Și apoi descărcați utilitarul Dr web CureIt pe o unitate flash


Sau conectați-vă și efectuați aceste acțiuni de pe alt computer. Acest utilitar vă va permite să vă curățați computerul de viruși după ce porniți Windows în modul sigur. Pentru a face acest lucru, trebuie să scrieți utilitarul pe o unitate flash și, după ce încărcați Windows în modul sigur, rulați acest utilitar de pe unitatea flash.


Acest utilitar este complet gratuit și vine cu cele mai recente versiuni ale bazei de date.

Sper că după citirea acestui articol, computerul dumneavoastră va fi protejat în mod fiabil. Și dacă un banner ransomware apare pe desktop, îl puteți elimina rapid și independent.

După repornirea computerului, monitorul afișează o solicitare de a trimite un SMS plătit sau de a depune bani într-un cont de telefon mobil?

Faceți cunoștință cu asta, așa arată un virus ransomware tipic! Acest virus vine în mii de forme diferite și sute de variații. Cu toate acestea, el este ușor de recunoscut după un simplu semn: el vă cere să puneți bani (sunați) pe un număr necunoscut și, în schimb, promite să vă deblocați computerul. Ce să fac?

În primul rând, realizați că acesta este un virus al cărui scop este să suge cât mai mulți bani din tine. De aceea nu ceda provocărilor lui.

Amintiți-vă un lucru simplu, nu trimiteți niciun SMS. Ei vor retrage toți banii care sunt în sold (de obicei, cererea spune 200-300 de ruble). Uneori, vă solicită să trimiteți două, trei sau mai multe SMS-uri. Amintiți-vă, virusul nu va dispărea de pe computer, indiferent dacă trimiteți bani escrocilor sau nu. Troianul winloc va rămâne pe computer până când îl eliminați singur.

Planul de acțiune este următorul: 1. Îndepărtați blocul din computer 2. Îndepărtați virusul și tratați computerul.

Modalități de deblocare a computerului:

1. Introduceți codul de deblocareȘi. Cel mai comun mod de a face față unui banner obscen. Puteți găsi codul aici: Dr.web, Kasperskiy, Nod32. Nu vă faceți griji dacă codul nu funcționează, treceți la pasul următor.

2. Încercați să porniți în Safe Mode. Pentru a face acest lucru, după ce porniți computerul, apăsați F8. Când apare fereastra cu opțiuni de pornire, selectați „modul sigur cu suport pentru driver” și așteptați ca sistemul să pornească.

2a. Acum hai să încercăm restabiliți sistemul(start-standard-system-system-restore) la un punct de control anterior. 2b. Creați un cont nou. Accesați Start - Panou de control - Conturi. Adăugați un cont nou și reporniți computerul. Când îl porniți, selectați contul nou creat. Să trecem la .

3. Încercați ctrl+alt+del- ar trebui să apară managerul de activități. Lansăm utilități de vindecare prin task manager. (selectați fișierul - o sarcină nouă și programele noastre). O altă modalitate este să țineți apăsat Ctrl + Shift + Esc și, în timp ce țineți aceste taste, să căutați și să ștergeți toate procesele ciudate până când desktop-ul este deblocat.

4. Cel mai sigur mod- aceasta înseamnă instalarea unui nou OS (sistem de operare). Dacă trebuie neapărat să păstrați vechiul sistem de operare, atunci ne vom uita la o modalitate mai laborioasă de a trata acest banner. Dar nu mai puțin eficient!

O altă modalitate (pentru utilizatorii avansați):

5. Pornirea de pe disc LiveCD care are un program de editare a registrului. Sistemul a pornit, deschide editorul de registry. În el vom vedea registrul sistemului actual și al celui infectat (ramurile sale din partea stângă sunt afișate cu o semnătură între paranteze).

Găsim cheia HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - acolo căutăm Userinit - ștergem totul după virgulă. ATENŢIE! Fișierul în sine „C:\Windows\system32\userinit.exe” NU POATE fi șters.);

Uită-te la valoarea cheii HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell ar trebui să fie explorer.exe. Am terminat cu registrul.

Dacă apare eroarea „Editarea registrului este interzisă de administratorul de sistem”, descărcați programul AVZ. Deschideți „Fișier” - „Restaurare sistem” - Bifați „Unlock Registry Editor”, apoi faceți clic pe „Efectuați operațiunile selectate”. Editorul este disponibil din nou.

Lansăm instrumentul de eliminare Kaspersky și dr.web cureit și scanăm întregul sistem cu ele. Tot ce rămâne este să reporniți și să returnați setările bios-ului. Cu toate acestea, virusul NU a fost încă eliminat de pe computer.

Tratarea computerului dvs. de la Trojan WinLock

Pentru asta avem nevoie de:
- Editor de registru ReCleaner
- antivirus popular Îndepărtarea sculei Kaspersky
- celebrul antivirus Dr.web cureit
- antivirus eficient Removeit pro
- Utilitar de reparare a registrului Plstfix
- Program pentru eliminarea fișierelor temporare ATF cleaner

1. Este necesar să scapi de virusul din sistem. Pentru a face acest lucru, lansați editorul de registry. Accesați Meniu - Sarcini - Lansați Editorul Registrului. Trebuie să găsiți:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - acolo căutăm secțiunea Userinit - ștergem totul după virgulă. ATENŢIE! Fișierul în sine „C:\Windows\system32\userinit.exe” NU POATE fi șters.);

Uită-te la valoarea cheii HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell ar trebui să existe explorer.exe. Am terminat cu registrul.

Acum selectați fila „Pornire”. Ne uităm prin elementele de pornire, bifăm casetele și ștergem (colțul din dreapta jos) tot ceea ce nu ați instalat, lăsând doar desktop și ctfmon.exe. Procesele svchost.exe și other.exe rămase din directorul Windows trebuie eliminate.
Selectați Sarcină - Curățați registry - Folosiți toate opțiunile. Programul va scana întregul registry și va șterge totul definitiv.

2. Pentru a găsi codul în sine, avem nevoie de următoarele utilitare: Kaspersky, Dr.Web și RemoveIT. Notă: RemoveIT vă va cere să actualizați bazele de date de semnături viruși. Este necesar să stabiliți o conexiune la Internet în timp ce este în curs de actualizare!
Cu aceste programe scanăm discul de sistem și ștergem tot ce găsesc. Dacă doriți, puteți verifica toate unitățile computerului pentru orice eventualitate. Va dura mult mai mult, dar este mai fiabil.

3. Următorul utilitar este Plstfix. Restaurează registrul după acțiunile noastre asupra acestuia. Ca rezultat, managerul de activități și modul sigur vor începe să funcționeze din nou.

4. Pentru orice eventualitate, ștergeți toate fișierele temporare. Adesea, copiile virusului sunt ascunse în aceste foldere. Acesta este modul în care chiar și antivirusurile bine-cunoscute ar putea să nu le detecteze. Este mai bine să eliminați manual orice lucru care nu va afecta semnificativ funcționarea sistemului. Instalați ATF Cleaner, marcați totul și ștergeți-l.

5. Reporniți sistemul. Totul merge! chiar mai bine ca inainte :).

Astăzi vreau să vorbesc despre Extorcare prin SMSprin internet și computer . Adică, cazurile în care computerul dvs., după ce a vizitat anumite site-uri, se infectează cu bannere care blochează funcționarea sistemului complet sau parțial. Pentru a debloca trebuie să trimiteți un mesaj la un număr scurt.

Mai întâi, să ne dăm seama ce tipuri de bannere ransomware există. LA primul tip include bannere care apar doar la lansarea browserelor de internet (Internet Explorer, Opera, Mozilla Firefox, Google Chrome etc.). Aceste bannere sunt numite și informatorii .

Al doilea tip bannerele sunt plasate pe desktop și ocupă cea mai mare parte a acestuia, fără a bloca lansarea altor programe, permițându-vă să deschideți Meniul principal, Managerul de activități etc.

Al treilea tip bannerele sunt cele mai dezgustătoare. Acesta blochează complet funcționarea computerului, solicitându-vă să trimiteți un mesaj SMS la un număr scurt. Ca răspuns, se promite un cod de deblocare. Este imposibil să te autentifici în sistem în mod normal, chiar și în Safe Mode. Amintiți-vă un lucru: nu trimiteți niciodată SMS la numerele specificate! Aceasta este o fraudă pură, care intră sub incidența articolelor relevante din Codul penal. Niciun utilizator nu a primit vreodată un mesaj SMS de răspuns cu un cod de deblocare a bannerului.

Deci, nimeni nu știe cum, dar bannerul a ajuns pe computer. Indiferent dacă acest lucru s-a întâmplat după ce ați făcut clic pe linkul furnizat în e-mail sau pur și simplu ați descărcat ceva - există multe opțiuni. Ce să faci în acest caz? În primul rând, trebuie să decideți ce tip de banner ransomware este pe computer. Dacă se închide împreună cu browserul, acesta este primul tip dacă se lansează Task Manager, Notepad, Word sau orice alte aplicații, acesta este al doilea tip dacă nu ajută și bannerul se blochează;

Pentru a elimina primul tip de ransomware, trebuie să examinați cu atenție toate setările browserului și să eliminați toate pluginurile, suplimentele și extensiile pe care nu le-ați instalat. Facem același lucru pentru applet-urile și DLL-urile JavaScript.

Al doilea tip de ransomware SMS nu este atât de ușor de curățat din sistem, dar este și posibil. Prima modalitate este să vizitați site-ul web al unei companii de antivirus. Toate companiile mai mult sau mai puțin mari au postat deja informații pe site-urile lor oficiale de ceva timp despre cum să eliminați un banner ransomware folosind metode „legale”. Trebuie să găsiți informații pe site-ul web care se referă în mod specific la numărul scurt la care vi se cere să trimiteți un mesaj SMS. Acolo, pe site, este dat și un cod de deblocare și este absolut gratuit. După deblocare, actualizați bazele de date de semnături antivirus pentru antivirusul pe care l-ați instalat și executați o scanare completă a întregului computer. Îndepărtați orice infecție pe care o găsiți fără milă. Dacă nu aveți niciun antivirus instalat, descărcați utilitarul gratuit CureIt de pe site-ul Dr.Web și verificați-vă computerul cu acesta. După verificare, curățați registry cu un utilitar special - un agent de curățare a registrului sau faceți-o manual, dacă, desigur, înțelegeți acest lucru.

Dacă aveți al treilea tip de banner ransomware, atunci nu vă puteți descurca fără un disc LiveCD sau fără a scoate unitatea hard disk și a-l conecta la alt computer. Procedura aici este următoarea: porniți de pe disc, lansați CureIt, verificați computerul pentru infecție și ștergeți tot ce a fost găsit. Din nou, rulați instrumentul de curățare a registrului și ștergeți cheile care erau legate de malware. Dacă nu aveți un LiveCD, conectați-vă unitatea de disc la un alt computer și rulați antivirusul pe el, după ce ați actualizat anterior, desigur, bazele de date cu viruși. După aceea, repornim și ne bucurăm de viață.

Cu siguranță, fiecare al patrulea utilizator al unui computer personal a întâlnit diverse escrocherii pe Internet. Un tip de înșelăciune este un banner care blochează funcționarea Windows și vă cere să trimiteți un SMS la un număr plătit sau cere criptomonede. În esență, este doar un virus.

Pentru a lupta împotriva ransomware-ului banner, trebuie să înțelegeți ce este acesta și cum pătrunde în computerul dvs. De obicei, un banner arată astfel:

Dar pot exista tot felul de alte variații, dar esența este aceeași - escrocii vor să facă bani din tine.

Modul în care un virus intră într-un computer

Prima opțiune pentru „infecție” este aplicațiile, utilitățile și jocurile piratate. Desigur, utilizatorii de internet sunt obișnuiți să obțină cea mai mare parte a ceea ce își doresc online „gratuit”, dar atunci când descarcă software piratat, jocuri, diverse activatoare și alte lucruri de pe site-uri suspecte, riscăm să fim infectați cu viruși. În această situație, de obicei ajută.

Windows poate fi blocat din cauza unui fișier descărcat cu extensia " .exe" Acest lucru nu înseamnă că ar trebui să refuzați să descărcați fișiere cu această extensie. Amintește-ți doar că " .exe„se poate aplica numai pentru jocuri și programe. Dacă descărcați un videoclip, o melodie, un document sau o imagine, iar numele acestuia are „.exe” la sfârșit, atunci șansa de apariție a unui banner ransomware crește brusc la 99,999%!

Există, de asemenea, un truc complicat cu presupusă necesitatea de a actualiza playerul Flash sau browserul. Se poate întâmpla să lucrați pe Internet, să vă mutați de la o pagină la alta și, într-o zi, veți găsi o inscripție care spune „playerul dvs. Flash este învechit, vă rugăm să actualizați”. Dacă dați clic pe acest banner și nu vă duce la site-ul oficial adobe.com, atunci este 100% un virus. Prin urmare, verificați înainte de a face clic pe butonul „Actualizare”. Cea mai bună opțiune ar fi să ignorați cu totul astfel de mesaje.

În cele din urmă, actualizările Windows învechite slăbesc securitatea sistemului. Pentru a vă proteja computerul, încercați să instalați actualizările la timp. Această caracteristică poate fi configurată în „Panouri de control -> Windows Update” la modul automat pentru a nu fi distras.

Cum să deblochezi Windows 7/8/10

Una dintre opțiunile simple de a elimina bannerul ransomware este. Ajută 100%, dar are sens să reinstalați Windows atunci când nu aveți date importante pe unitatea „C” pe care nu ați avut timp să le salvați. Când reinstalați sistemul, toate fișierele vor fi șterse de pe discul de sistem. Prin urmare, dacă nu doriți să reinstalați software și jocuri, atunci puteți utiliza alte metode.

După tratamentul și lansarea cu succes a sistemului fără bannerul ransomware, trebuie să faceți pași suplimentari, altfel virusul poate reapărea sau pur și simplu vor apărea unele probleme în funcționarea sistemului. Toate acestea sunt la finalul articolului. Toate informațiile au fost verificate de mine personal! Deci, să începem!

Kaspersky Rescue Disk + WindowsUnlocker ne va ajuta!

Vom folosi un sistem de operare special dezvoltat. Întreaga dificultate este că trebuie să descărcați imaginea pe computerul de lucru și sau (defilați printre articole, este acolo).

Când acest lucru este gata, aveți nevoie. În momentul pornirii, va apărea un mesaj mic, cum ar fi „Apăsați orice tastă pentru a porni de pe CD sau DVD”. Aici trebuie să apăsați orice buton de pe tastatură, altfel Windows-ul infectat va porni.

La încărcare, apăsați orice buton, apoi selectați limba – „rusă”, acceptați acordul de licență folosind butonul „1” și utilizați modul de lansare – „Grafic”. După pornirea sistemului de operare Kaspersky, nu acordăm atenție scanerului lansat automat, ci mergem la meniul „Start” și lansăm „Terminal”


Se va deschide o fereastră neagră, unde scriem comanda:

deblocator de geamuri

Se va deschide un mic meniu:


Selectați „Deblocați Windows” cu butonul „1”. Programul în sine va verifica și corecta totul. Acum puteți închide fereastra și puteți verifica întregul computer cu scanerul care rulează deja. În fereastră, bifați discul cu sistemul de operare Windows și faceți clic pe „Run object scan”


Așteptăm ca verificarea să se termine (poate dura mult timp) și, în sfârșit, repornim.

Dacă aveți un laptop fără mouse și touchpad-ul nu funcționează, atunci vă sugerez să utilizați modul text al discului Kaspersky. În acest caz, după pornirea sistemului de operare, trebuie mai întâi să închideți meniul care se deschide cu butonul „F10”, apoi să introduceți aceeași comandă în linia de comandă: windowsunlocker

Deblocare în modul sigur, fără imagini speciale

Astăzi, viruși precum Winlocker au devenit mai inteligenți și blochează Windows să se încarce în modul sigur, așa că cel mai probabil nu veți reuși, dar dacă nu există nicio imagine, atunci încercați. Virușii sunt diferiți și metode diferite pot funcționa pentru toată lumea, dar principiul este același.

Reporniți computerul. În timpul pornirii, trebuie să apăsați tasta F8 până când apare meniul Windows Advanced Startup Options. Trebuie să folosim săgețile în jos pentru a selecta din listă un element numit „Mod sigur cu suport pentru linia de comandă”.

Aici trebuie să mergem și să selectăm linia dorită:

Apoi, dacă totul merge bine, computerul va porni și vom vedea desktopul. Grozav! Dar asta nu înseamnă că totul funcționează acum. Dacă nu eliminați virusul și doar reporniți în modul normal, bannerul va apărea din nou!

Suntem tratați folosind Windows

Trebuie să restabiliți sistemul când bannerul de blocare nu exista încă. Citiți cu atenție articolul și faceți tot ce este scris acolo. Există un videoclip sub articol.

Dacă nu ajută, apăsați butoanele „Win ​​+R” și scrieți comanda în fereastră pentru a deschide editorul de registry:

regedit

Dacă în loc de desktop se lansează o linie de comandă neagră, atunci pur și simplu introduceți comanda „regedit” și apăsați „Enter”. Trebuie să verificăm unele secțiuni ale registrului pentru prezența virușilor sau, mai precis, a codului rău intenționat. Pentru a începe această operațiune, mergeți pe această cale:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

Acum verificăm următoarele valori în ordine:

  • Shell – „explorer.exe” trebuie scris aici, nu ar trebui să existe alte opțiuni
  • Userinit – aici textul ar trebui să fie „C:\Windows\system32\userinit.exe”,

Dacă sistemul de operare este instalat pe o altă unitate decât C:, atunci litera de acolo va fi diferită. Pentru a modifica valorile incorecte, faceți clic dreapta pe linia pe care doriți să o editați și selectați „editați”:

Apoi verificăm:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Nu ar trebui să existe chei Shell și Userinit aici, dacă există, ștergeți-le.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Și, de asemenea, asigurați-vă că:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Dacă nu sunteți sigur dacă trebuie să ștergeți cheia, puteți adăuga mai întâi un „1” la parametru. Calea va fi incorectă, iar programul pur și simplu nu va porni. Apoi îl poți readuce așa cum a fost.

Acum trebuie să rulați utilitarul de curățare a sistemului încorporat, o facem în același mod în care am lansat editorul de registry „regedit”, dar scriem:

cleanmgr

Selectați unitatea cu sistemul de operare (C: implicit) și după scanare, bifați toate casetele, cu excepția „Actualizați fișierele de rezervă ale pachetului”

Și faceți clic pe „OK”. Cu această acțiune, este posibil să fi dezactivat rularea automată a virusului și apoi trebuie să curățăm urmele prezenței acestuia în sistem și să citim despre asta la sfârșitul articolului.

utilitarul AVZ

Ideea este că în modul sigur vom lansa binecunoscutul utilitar antivirus AVZ. Pe lângă scanarea pentru viruși, programul are doar o mulțime de funcții pentru remedierea problemelor de sistem. Această metodă repetă pașii pentru a închide găurile în sistem după ce virusul a funcționat, inclusiv. Pentru a vă familiariza cu el, treceți la următorul punct.

Remedierea problemelor după eliminarea ransomware-ului

Felicitări! Dacă citiți acest lucru, înseamnă că sistemul a pornit fără banner. Acum trebuie să verifice întregul sistem. Dacă ați folosit discul de salvare Kaspersky și ați verificat acolo, atunci puteți sări peste acest punct.

Mai poate exista și o problemă asociată cu activitățile răufăcătorului - virusul vă poate cripta fișierele. Și chiar și după ce îl ștergeți complet, pur și simplu nu veți putea să vă folosiți fișierele. Pentru a le decripta trebuie să utilizați programe de pe site-ul Kaspersky: XoristDecryptor și RectorDecryptor. Există, de asemenea, instrucțiuni de utilizare acolo.

Dar asta nu este tot, pentru că... Winlocker a jucat cel mai probabil un truc murdar asupra sistemului și vor fi observate diverse erori și probleme. De exemplu, Editorul de registry și Managerul de activități nu vor porni. Pentru a trata sistemul vom folosi programul AVZ.

Este posibil să existe o problemă la descărcarea utilizând Google Chrome, deoarece... Acest browser consideră programul rău intenționat și nu vă permite să-l descărcați! Această întrebare a fost deja ridicată pe forumul oficial Google, iar la momentul scrierii acestui articol totul este deja normal.

Pentru a descărca în continuare arhiva cu programul, trebuie să mergeți la „Descărcări” și acolo faceți clic pe „Descărcați fișierul rău intenționat” :) Da, înțeleg că acest lucru pare puțin stupid, dar se pare că Chrome crede că programul poate dăuna utilizatorului obișnuit . Și asta este adevărat, dacă îl bagi undeva! Prin urmare, respectăm cu strictețe instrucțiunile!

Despachetăm arhiva cu programul, o scriem pe un suport extern și o rulăm pe computerul infectat. Să mergem la meniu „Fișier -> Restaurare sistem”, bifați casetele ca în imagine și efectuați operațiunile:

Acum mergem pe următorul drum: „Fișier -> Expert de depanare”, apoi du-te la „Probleme de sistem -> Toate problemele”și faceți clic pe butonul „Start”. Programul va scana sistemul, iar apoi în fereastra care apare, bifați toate casetele, cu excepția „Dezactivați actualizările automate ale sistemului de operare” și a celor care încep cu expresia „Permiteți executarea automată de la...”.

Faceți clic pe butonul „Remediați problemele observate”. După finalizarea cu succes, accesați: „Setări și ajustări ale browserului -> Toate problemele”, aici bifăm toate casetele și facem clic pe butonul „Remediați problemele observate” în același mod.

Facem același lucru cu „Confidențialitate”, dar aici nu bifați casetele care sunt responsabile pentru ștergerea marcajelor din browsere și orice altceva credeți că este necesar. Terminăm verificarea în secțiunile „System Cleaning” și „Adware/Toolbar/Browser Hijacker Removal”.

În cele din urmă, închideți fereastra fără a părăsi AVZ. În program găsim „Instrumente -> Editor de extensii Explorer”și debifați acele elemente marcate cu negru. Acum să trecem la: „Instrumente -> Internet Explorer Extension Manager”și ștergeți complet toate liniile din fereastra care apare.

Am spus deja mai sus că această secțiune a articolului este și una dintre modalitățile de a vindeca Windows de ransomware banner. Deci, în acest caz, trebuie să descărcați programul pe computerul de lucru și apoi să îl scrieți pe o unitate flash sau pe disc. Efectuăm toate acțiunile în mod sigur. Dar există o altă opțiune pentru a rula AVZ, chiar dacă modul sigur nu funcționează. Trebuie să începeți din același meniu când sistemul pornește, în modul „Depanați computerul”.

Dacă îl aveți instalat, acesta va fi afișat chiar în partea de sus a meniului. Dacă nu este acolo, încercați să porniți Windows până când apare bannerul și să deconectați computerul. Apoi porniți-l - poate fi oferit un nou mod de lansare.

Rulează de pe discul de instalare Windows

O altă modalitate sigură este să pornești de pe orice disc de instalare Windows 7-10 și să nu selectezi „Instalare” acolo, ci "Restaurarea sistemului". Când instrumentul de depanare rulează:

  • Trebuie să selectați „Prompt de comandă” acolo.
  • În fereastra neagră care apare, scrieți: „notepad”, adică. lansați un blocnotes obișnuit. Îl vom folosi ca mini dirijor
  • Accesați meniul „Fișier -> Deschidere”, selectați tipul de fișier „Toate fișierele”
  • Apoi, găsiți folderul cu programul AVZ, faceți clic dreapta pe fișierul care urmează să fie lansat „avz.exe” și lansați utilitarul folosind elementul de meniu „Deschidere” (nu elementul „Selectare”!).

Dacă totul eșuează

Se referă la cazurile în care, dintr-un anumit motiv, nu puteți porni de pe o unitate flash cu o imagine Kaspersky înregistrată sau programul AVZ. Tot ce trebuie să faceți este să scoateți hard disk-ul de pe computer și să îl conectați ca o a doua unitate la computerul de lucru. Apoi porniți de pe un hard disk NEINFECTAT și scanați-vă unitatea cu un scaner Kaspersky.

Nu trimite niciodată mesaje SMS pe care le cer escrocii. Indiferent de text, nu trimite mesaje! Încercați să evitați site-urile și fișierele suspecte și, în general, citiți. Urmați instrucțiunile, iar computerul dvs. va fi în siguranță. Și nu uitați de antivirus și de actualizările regulate ale sistemului de operare!

Iată un videoclip în care puteți vedea totul cu un exemplu. Lista de redare constă din trei lecții:

PS: ce metoda te-a ajutat? Scrieți despre asta în comentariile de mai jos.

mob_info