Hur man blir av med ransomware-bannern. Hur man avblockerar Windows från ransomware-virus

Hur man blir av med en banner

Med en enorm känsla av tacksamhet till vår läsare för den här länken till en virussajt där min dator möjligen kan vara infekterad med en ransomware-banner, stängde jag av mitt antivirusprogram och ett visst skydd, vilket kommer att diskuteras nedan, och följde denna länk. En webbplats öppnades där jag bara lyckades se konturerna av en gitarr, bokstavligen en sekund senare triggades viralkoden inbäddad på huvudsidan på denna webbplats, som är javascript, och mitt skrivbord blockerades av en ransomware-banner, jag hade inte ens tid att klicka på något (Naturligtvis kommer jag inte att ge dig en länk till en webbplats med ett virus, administrationen av denna webbplats, jag skrev senare ett brev och viruset togs bort från webbplatsen, men i allmänhet kan allt hända i livet, ingen webbplats är 100 % immun mot hacking).

Nåväl, nu en detaljerad berättelse om hur man blir av med en banderoll, om du redan har fångat honom. Informationen som tillhandahålls är lämplig för operativsystem, Windows Vista, .

Det första vi kommer att göra är att gå till webbplatserna för ledande antivirusföretag som tillhandahåller tjänster för att låsa upp din dator från ransomware-bannern.

  1. Dr. Web https://www.drweb.com/xperf/unlocker
  2. NOD32 http://www.esetnod32.ru/.support/winlock
  3. Kaspersky Lab http://sms.kaspersky.ru

Tyvärr kunde jag inte hitta upplåsningskoden, tydligen skrevs viruset nyligen.
Det andra du kan prova är att starta om datorn och tryck på när du laddar F-8, låt oss gå till Felsökning, detta är om du har Windows 7 installerat i operativsystemet Windows XP, gå direkt till felsäkert läge med kommandoradsstöd (läs vad du ska göra där nedan).

Vi lever just nu i datortiden. Det finns nu en dator i alla hem och kontor, och inte ens bara en. Datorer används för utbildning och underhållning. Och om du har internet kan du betala verktyg och göra en banköverföring. Det är verkligen väldigt bekvämt och gör vårt liv mycket enklare. Och allt skulle vara bra om brott ringde Cyber ​​brott, förstör vårt humör och lättar upp vår plånbok :-).

Låt oss titta närmare på vad det är och hur vi kan bekämpa det.

Elektroniska betalningssystem Webmoney, Qiwi, Yandex-pengar och andra - vi använde dem alla och uppskattade deras kapacitet. Vissa av dem är säkrare och har en länk till en specifik dator, dubbel autentisering via SMS och en mobilapplikation installerad på din smartphone eller surfplatta. Vissa är mindre säkra och lagrar sparade lösenord direkt i webbläsaren, varifrån du, om du verkligen vill, kan kopiera dem och få tillgång till ditt konto. För att förhindra att detta händer måste du skydda din dator med antivirusprogram.

Det är därför, Du bör alltid ha ett antivirusprogram installerat på din dator med de senaste uppdateringarna!


För de flesta dummies räcker det med att installera det kostnadsfria antivirusprogrammet Avast. Åtminstone något snarare än ingenting alls.

Låt oss titta på situationen när vi är på datorn inget antivirus alls. Vad betyder det här? Även att använda Internet i två till tre timmar med ett avinstallerat eller inaktiverat antivirus kommer att ge dig en hög sannolikhet att "plocka upp" skadlig programvara från Internet. För vilket syfte är dessa program skrivna? Och målet är enkelt: en brottsling, när han står inför ett straffrättsligt ansvar för detta, kommer inte att distribuera virus om han inte har en betydande inkomst från detta... Det är virus också. På sistone har de skrivits i syfte att ta dina pengar. dolda eller uppenbara sätt.

Trojaner

Med en dold metod Ett skadligt program, en så kallad trojan, är installerat på din dator. Den tränger igenom en datorsårbarhet, till exempel när brandväggen är inaktiverad eller när du kommer åt en viss grupp av webbplatser. Oftast inkluderar dessa webbplatser med erotiskt innehåll. Med en tydlig metod för att ta pengar överför du själv pengar för att låsa upp datorn på ett eller annat sätt till brottslingarnas konto. Dessutom kanske det faktiskt inte finns någon upplåsning, eftersom brottslingarna helt enkelt inte kommer att vara intresserade av dig efter att ha överfört pengarna.

Jag bestämde mig för att genomföra ett riskfyllt experiment). Jag uppdaterade min antivirusdatabas och gick till en uppenbart misstänkt sida för att visa dig hur den ser ut. Vi erbjuds omedelbart att ladda ner en okänd drivrutinsfil, även utan att ange webbkameramodell.


Namnet på webbplatsen är synligt i skärmdumpen och det har ingen semantisk betydelse. Troligtvis gjordes detta medvetet för att associera den här webbplatsen med namn med så många sökmotorfrågor som möjligt, så att du inte skulle kunna märka skillnaden mellan ämnena. Dessutom ser vi på skärmen ett stort antal personer som laddade ner och påstås tacka dem.

Scam webbplatser

Mycket ofta, när vi söker, ser vi imitationer av forumsidor med ett oklart namn och ett erbjudande om att ladda ner filen vi behöver. Därefter kommer en fråga från "användaren": De ber att få skicka ett SMS för att ladda ner den här filen. De förklarar glatt för honom att detta är skydd mot bots, allt har kontrollerats, oroa dig inte



Naturligtvis, efter att du skickat ett SMS som visar sig vara betald, kommer en rejäl summa att dras från ditt konto under den tunna förevändningen att tillhandahålla underhållning eller informationstjänster.

Installera heller aldrig olika typer av verktygsfält på din dator, trots alla fördelar med denna installation, som speciellt anlitade erfarna författare färgrikt kommer att beskriva för dig:


Det är bättre att avstå från att besöka webbplatser om vi ser denna varning:


Även om det är möjligt - detta är bara återförsäkring från Yandex-programmerare. Detta gäller även olika tillägg från overifierade källor. Under täckmanteln av detta gömmer sig ofta alla typer av virus.

Banderoller

Låt oss titta på hur en dator med ett antivirus installerat, men inte med de senaste databaserna och brandväggen aktiverade, blir infekterad?

Oftast laddar en oerfaren användare ner skadlig programvara till sin dator utan att veta om det. Den kan vara förklädd som vad som helst, till exempel som ett verktyg eller en drivrutin med ett självextraherande arkiv med tillägget *.exe, eller till och med, som hände med min chef, som ett viktigt brev, förmodligen från en skiljedomstol. Så här ser en av de möjliga ransomware-bannern som kan visas på ditt skrivbord ut:


Affärsmän har ofta många problem. Efter att ha tappat förståndet laddar de omedelbart ned bilagan från e-postmeddelandet och öppnar den. Dessutom kallades filen i det här fallet "Letter". Och till och med ikonen var i form av ett kuvert. För personer med låg utbildning inom datorområdet räcker detta tyvärr. Det är den icke-standardiserade filtillägget och dess ikon som kommer att varna oss, mer erfarna användare.


Efter det dök en banner med namnet Watnik 91 upp på skrivbordet


Det är oklart vem de skulle vilseleda på det här sättet, tydligen är detta allt deras fantasi kunde.

Så på den här bannern fanns det tryckt text om att alla dina filer med tillägget DOC, PDF, XLS, JPEG och möjligen några andra var krypterade. Vi lyckades dekryptera dem, men bara efter två veckors korrespondens och skicka prover av krypterade filer till en speciell webbplats för att ge hjälp till hjälpare.

Ta bort en banner med AntiSMS

Jag har stött på ransomware-banners tidigare. För det här fallet har jag en startskiva som heter Anti SMS, speciellt skapad för att bekämpa ransomware-banners. Det är väldigt lätt att arbeta med. Det räcker att trycka på BIOS-tangenten flera gånger under de första 5 sekunderna efter att datorn startar. För olika versioner av moderkort är det olika nycklar, till exempel Delete, F2, F11 och andra, se instruktionerna på skärmen direkt efter start av PC:n.



Efter att den avskalade versionen av operativsystemet (operativsystemet) har laddats in i datorns RAM-minne måste vi bara trycka på en knapp-ikon på skärmen och vänta på ett meddelande om att datorn har rengjorts. Autostarten av datorn som viruset registrerar sig på kommer att rensas. Efter att ha startat om datorn kommer vi att se att ransomware-bannern har försvunnit.


Startskiva eller flash

Vad ska man göra om din dator är infekterad, det finns en liknande banner på skärmen som blockerar åtkomst till Internet och driften av datorn, och du har inte en sådan disk? Nåväl, du visade sig vara oförberedd på en sådan vändning!?

Sedan kan du starta från en Linux Live Cd-skiva, till exempel Ubuntu eller Runtu, med standardstöd för Internetåtkomst via Ethernet. De som är i ämnet kommer att förstå


Och ladda sedan ner verktyget Dr web CureIt till en flash-enhet


Eller logga in och utför dessa åtgärder från en annan dator. Det här verktyget låter dig rensa din dator från virus efter att du har startat upp Windows i felsäkert läge. För att göra detta måste du skriva verktyget på en flashenhet, och efter att ha laddat Windows i felsäkert läge, kör det här verktyget från flashenheten.


Detta verktyg är helt gratis och kommer med de senaste versionerna av databasen.

Jag hoppas att din dator kommer att vara tillförlitligt skyddad efter att ha läst den här artikeln. Och om en ransomware-banner visas på ditt skrivbord kan du snabbt och självständigt ta bort den.

Efter att ha startat om datorn visar bildskärmen en begäran om att skicka ett betalt SMS, eller att sätta in pengar på ett mobiltelefonkonto?

Möt det här, så här ser ett typiskt ransomware-virus ut! Detta virus finns i tusentals olika former och hundratals varianter. Han är dock lätt att känna igen på ett enkelt tecken: han ber dig lägga pengar (ringa) på ett okänt nummer och lovar i gengäld att låsa upp din dator. Vad ska man göra?

Först, inse att detta är ett virus vars mål är att suga så mycket pengar ur dig som möjligt. Det är därför du inte ger efter för hans provokationer.

Kom ihåg en enkel sak, skicka inga SMS. De kommer att ta ut alla pengar som finns på saldot (vanligtvis säger begäran 200-300 rubel). Ibland kräver de att du skickar två, tre eller fler SMS. Kom ihåg att viruset inte kommer att försvinna från din dator, oavsett om du skickar pengar till bedragare eller inte. Trojan winloc kommer att finnas kvar på din dator tills du tar bort den själv.

Handlingsplanen är följande: 1. Ta bort blocket från datorn 2. Ta bort viruset och behandla datorn.

Sätt att låsa upp din dator:

1. Ange upplåsningskoden Och. Det vanligaste sättet att hantera en obscen banner. Du hittar koden här: Dr.web, Kasperskiy, Nod32. Oroa dig inte om koden inte fungerar, gå vidare till nästa steg.

2. Testa att starta i felsäkert läge. För att göra detta, efter att ha slagit på datorn, tryck på F8. När fönstret för startalternativ visas väljer du "säkert läge med drivrutinsstöd" och väntar på att systemet startar.

2a. Nu ska vi försöka återställa systemet(start-standard-system-system-restore) till en tidigare kontrollpunkt. 2b. Skapa ett nytt konto. Gå till Start - Kontrollpanelen - Konton. Lägg till ett nytt konto och starta om datorn. När du slår på det väljer du det nyskapade kontot. Låt oss gå vidare till .

3. Prova ctrl+alt+del- Aktivitetshanteraren ska visas. Vi lanserar helande verktyg genom uppgiftshanteraren. (välj filen - en ny uppgift och våra program). Ett annat sätt är att hålla nere Ctrl + Shift + Esc och, medan du håller dessa tangenter, leta efter och ta bort alla konstiga processer tills skrivbordet är upplåst.

4. Det mest pålitliga sättet- detta innebär att du installerar ett nytt OS (operativsystem). Om du absolut behöver behålla det gamla operativsystemet kommer vi att titta på ett mer arbetsintensivt sätt att hantera denna banner. Men inte mindre effektivt!

Ett annat sätt (för avancerade användare):

5. Startar från disk LiveCD som har ett registerredigeringsprogram. Systemet har startat, öppna registerredigeraren. I det kommer vi att se registret för det nuvarande systemet och det infekterade (dess grenar på vänster sida visas med en signatur inom parentes).

Vi hittar nyckeln HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - där letar vi efter Userinit - vi tar bort allt efter kommatecken. UPPMÄRKSAMHET! Själva filen "C:\Windows\system32\userinit.exe" KAN INTE raderas.);

Titta på värdet på nyckeln HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell det borde vara explorer.exe. Vi är klara med registret.

Om felet "Redigering av registret är förbjudet av systemadministratören" visas, ladda ner AVZ-programmet. Öppna "Arkiv" - "Systemåterställning" - Markera "Lås upp registerredigeraren" och klicka sedan på "Utför valda åtgärder". Redaktören är tillgänglig igen.

Vi lanserar borttagningsverktyget Kaspersky och dr.web cureit och skannar hela systemet med dem. Allt som återstår är att starta om och återställa bios-inställningarna. Viruset har dock INTE tagits bort från datorn ännu.

Behandla din dator från Trojan WinLock

För detta behöver vi:
- ReCleaner registerredigerare
- populärt antivirusprogram Kaspersky borttagning av verktyg
- berömt antivirus Dr.web cureit
- effektivt antivirus Removeit pro
- Verktyget Plstfix registerreparation
- Program för att ta bort temporära filer ATF cleaner

1. Det är nödvändigt att bli av med viruset i systemet. För att göra detta, starta registerredigeraren. Gå till Meny - Uppgifter - Starta Registereditorn. Behöver hitta:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - där letar vi efter avsnittet Userinit - vi tar bort allt efter kommatecken. UPPMÄRKSAMHET! Själva filen "C:\Windows\system32\userinit.exe" KAN INTE raderas.);

Titta på värdet på nyckeln HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, det borde finnas explorer.exe. Vi är klara med registret.

Välj nu fliken "Start". Vi tittar igenom startobjekten, markerar rutorna och tar bort (nedre högra hörnet) allt som du inte installerade, vilket bara lämnar skrivbordet och ctfmon.exe. De återstående svchost.exe- och andra.exe-processerna från Windows-katalogen måste tas bort.
Välj Uppgift - Rensa registret - Använd alla alternativ. Programmet kommer att skanna hela registret och radera allt permanent.

2. För att hitta själva koden behöver vi följande verktyg: Kaspersky, Dr.Web och RemoveIT. Obs: RemoveIT kommer att be dig uppdatera virussignaturdatabaserna. Det är nödvändigt att upprätta en internetanslutning medan den uppdateras!
Med dessa program skannar vi systemdisken och raderar allt de hittar. Om du vill kan du kontrollera alla datorenheter för säkerhets skull. Det kommer att ta mycket längre tid, men det är mer pålitligt.

3. Nästa verktyg är Plstfix. Det återställer registret efter våra åtgärder på det. Som ett resultat kommer aktivitetshanteraren och felsäkert läge att börja fungera igen.

4. För säkerhets skull, ta bort alla temporära filer. Ofta är kopior av viruset gömda i dessa mappar. Detta är hur även välkända antivirus kanske inte upptäcker dem. Det är bättre att manuellt ta bort allt som inte nämnvärt påverkar systemets funktion. Installera ATF Cleaner, markera allt och ta bort det.

5. Starta om systemet. Allt fungerar! ännu bättre än tidigare :).

Idag vill jag prata om SMS-utpressningvia internet och dator . Det vill säga fall när din dator, efter att ha besökt vissa webbplatser, blir infekterad med banners som blockerar driften av systemet helt eller delvis. För att avblockera måste du skicka ett meddelande till ett kortnummer.

Låt oss först ta reda på vilka typer av ransomware-banners som finns. TILL första typen inkluderar banners som endast visas när webbläsare startas (Internet Explorer, Opera, Mozilla Firefox, Google Chrome, etc.). Dessa banderoller kallas också informatörer .

Andra typen banners placeras på skrivbordet och upptar det mesta, utan att blockera lanseringen av andra program, så att du kan öppna huvudmenyn, Task Manager, etc.

Tredje typen banderoller är det äckligaste. Det blockerar helt datorns funktion, vilket kräver att du skickar ett SMS till ett kortnummer. Som svar utlovas en upplåsningskod. Det är omöjligt att logga in på systemet normalt även i felsäkert läge. Kom ihåg en sak: skicka aldrig SMS till de angivna numren! Detta är rent bedrägeri, som faller under de relevanta artiklarna i strafflagen. Inte en enda användare har någonsin fått ett svars-SMS med en bannerupplåsningskod.

Så ingen vet hur, men bannern hamnade på din dator. Oavsett om detta hände efter att du klickat på länken i e-postmeddelandet, eller helt enkelt laddat ner något - det finns många alternativ. Vad ska man göra i det här fallet? Först måste du bestämma vilken typ av ransomware-banner som finns på din dator. Om det stängs tillsammans med webbläsaren är detta den första typen om Aktivitetshanteraren, Anteckningar, Word eller andra applikationer startas, detta är den andra typen om inget hjälper och bannern hänger sig;

För att ta bort den första typen av ransomware måste du noggrant granska alla webbläsarinställningar och ta bort alla plugins, tillägg och tillägg som du inte installerat. Vi gör samma sak för JavaScript-appletar och DLL-filer.

Den andra typen av SMS ransomware är inte så lätt att rensa ur systemet, men det är också möjligt. Det första sättet är att besöka webbplatsen för ett antivirusföretag. Alla mer eller mindre stora företag har redan publicerat information på sina officiella webbplatser under ganska lång tid om hur man tar bort en ransomware-banner med "lagliga" metoder. Du behöver hitta information på webbplatsen som specifikt relaterar till det kortnummer som du ombeds skicka ett SMS till. Där, på webbplatsen, ges också en upplåsningskod, och det är helt gratis. Efter upplåsning uppdaterar du antivirussignaturdatabaserna för det antivirusprogram du har installerat och kör en fullständig genomsökning av hela datorn. Ta bort alla infektioner du hittar skoningslöst. Om du inte har något antivirus installerat, ladda ner det kostnadsfria verktyget CureIt från Dr.Webs webbplats och kontrollera din dator med det. Efter kontroll, rengör registret med ett speciellt verktyg - en registerrensare, eller gör det manuellt, om du förstår detta.

Om du har den tredje typen av ransomware-banner kan du inte klara dig utan en LiveCD-disk eller utan att ta bort din hårddisk och ansluta den till en annan dator. Proceduren här är som följer: starta från disken, starta CureIt, kontrollera datorn för infektion och ta bort allt som hittats. Återigen, kör registerrensaren och ta bort nycklarna som var relaterade till skadlig programvara. Om du inte har en LiveCD, anslut sedan din hårddisk till en annan dator och kör antivirusprogrammet på den, efter att ha uppdaterat virusdatabaserna tidigare. Efter det startar vi om och njuter av livet.

Säkert har var fjärde användare av en persondator stött på olika bedrägerier på Internet. En typ av bedrägeri är en banner som blockerar driften av Windows och kräver att du skickar ett SMS till ett betalnummer eller kräver kryptovaluta. I grund och botten är det bara ett virus.

För att bekämpa ransomware måste du förstå vad det är och hur det penetrerar din dator. Vanligtvis ser en banner ut så här:

Men det kan finnas alla möjliga andra varianter, men kärnan är densamma - bedragare vill tjäna pengar på dig.

Hur ett virus kommer in i en dator

Det första alternativet för "infektion" är piratkopierade applikationer, verktyg och spel. Naturligtvis är internetanvändare vana vid att få det mesta de vill ha online "gratis", men när vi laddar ner piratkopierad programvara, spel, olika aktivatorer och annat från misstänkta webbplatser riskerar vi att bli infekterade med virus. I den här situationen brukar det hjälpa.

Windows kan blockeras på grund av en nedladdad fil med tillägget " .exe" Detta betyder inte att du ska vägra att ladda ner filer med detta tillägg. Kom bara ihåg att" .exe"kan bara gälla spel och program. Om du laddar ner en video, låt, dokument eller bild, och dess namn har ".exe" i slutet, så ökar chansen att en ransomware-banner dyker upp kraftigt till 99,999%!

Det finns också ett knepigt knep med förmodligen behovet av att uppdatera Flash-spelaren eller webbläsaren. Det kan hända att du kommer att arbeta på Internet, flytta från sida till sida, och en dag kommer du att hitta en inskription om att "din Flash-spelare är inaktuell, vänligen uppdatera." Om du klickar på den här bannern och den inte leder dig till den officiella adobe.com-webbplatsen är det 100 % ett virus. Kontrollera därför innan du klickar på knappen "Uppdatera". Det bästa alternativet skulle vara att ignorera sådana meddelanden helt och hållet.

Slutligen, föråldrade Windows-uppdateringar försvagar ditt systems säkerhet. För att hålla din dator skyddad, försök att installera uppdateringar i tid. Denna funktion kan konfigureras i "Kontrollpaneler -> Windows Update" till automatiskt läge för att inte bli distraherad.

Hur man låser upp Windows 7/8/10

Ett av de enkla alternativen för att ta bort ransomware-bannern är. Det hjälper till 100%, men det är vettigt att installera om Windows när du inte har viktiga data på enhet "C" som du inte hade tid att spara. När du installerar om systemet kommer alla filer att raderas från systemdisken. Därför, om du inte vill installera om programvara och spel, kan du använda andra metoder.

Efter behandling och framgångsrik lansering av systemet utan ransomware-bannern måste du vidta ytterligare åtgärder, annars kan viruset dyka upp igen, eller det kommer helt enkelt att uppstå några problem i driften av systemet. Allt detta är i slutet av artikeln. All information har verifierats av mig personligen! Så, låt oss börja!

Kaspersky Rescue Disk + WindowsUnlocker hjälper oss!

Vi kommer att använda ett speciellt utvecklat operativsystem. Hela svårigheten är att du behöver ladda ner bilden på din arbetsdator och eller (bläddra igenom artiklarna, den finns där).

När detta är klart behöver du. Vid start kommer ett litet meddelande att visas, till exempel "Tryck på valfri tangent för att starta från CD eller DVD." Här måste du trycka på valfri knapp på tangentbordet, annars startar det infekterade Windows.

När du laddar, tryck på valfri knapp, välj sedan språket - "ryska", acceptera licensavtalet med "1"-knappen och använd startläget - "Graphic". Efter att ha startat Kaspersky-operativsystemet uppmärksammar vi inte den automatiskt startade skannern, utan går till "Start"-menyn och startar "Terminal"


Ett svart fönster öppnas, där vi skriver kommandot:

windows unlocker

En liten meny öppnas:


Välj "Lås upp Windows" med knappen "1". Programmet självt kommer att kontrollera och korrigera allt. Nu kan du stänga fönstret och kontrollera hela datorn med skannern redan igång. I fönstret sätter du en bock på disken med Windows OS och klickar på "Kör objektsökning"


Vi väntar på att kontrollen ska avslutas (det kan ta lång tid) och startar slutligen om.

Om du har en bärbar dator utan mus och pekplattan inte fungerar, föreslår jag att du använder textläget på Kaspersky-disken. I det här fallet, efter att ha startat operativsystemet, måste du först stänga menyn som öppnas med "F10" -knappen, ange sedan samma kommando på kommandoraden: windowsunlocker

Upplåsning i säkert läge, utan speciella bilder

Idag har virus som Winlocker blivit smartare och blockerar Windows från att laddas i säkert läge, så troligtvis kommer du inte att lyckas, men om det inte finns någon bild, försök då. Virus är olika och olika metoder kan fungera för alla, men principen är densamma.

Starta om datorn. Under uppstart måste du trycka på F8-tangenten tills menyn Windows Advanced Startup Options visas. Vi måste använda nedåtpilarna för att välja ett objekt som heter från listan "Säkert läge med kommandoradsstöd".

Det är här vi måste gå och välja önskad rad:

Därefter, om allt går bra, kommer datorn att starta och vi kommer att se skrivbordet. Bra! Men det betyder inte att allt fungerar nu. Om du inte tar bort viruset och bara startar om i normalt läge, kommer bannern att dyka upp igen!

Vi behandlas med Windows

Du måste återställa systemet när blockeringsbannern ännu inte fanns. Läs artikeln noggrant och gör allt som står där. Det finns en video under artikeln.

Om det inte hjälper, tryck sedan på "Win+R"-knapparna och skriv kommandot i fönstret för att öppna registerredigeraren:

regedit

Om istället för skrivbordet en svart kommandorad startas, skriv bara in kommandot "regedit" och tryck på "Enter". Vi måste kontrollera vissa delar av registret för förekomst av virus, eller, för att vara mer exakt, skadlig kod. För att starta denna operation, gå till denna väg:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

Nu kontrollerar vi följande värden i ordning:

  • Shell – "explorer.exe" måste skrivas här, det borde inte finnas några andra alternativ
  • Userinit – här ska texten vara "C:\Windows\system32\userinit.exe,"

Om operativsystemet är installerat på en annan enhet än C:, blir bokstaven där en annan. För att ändra felaktiga värden, högerklicka på raden du vill redigera och välj "redigera":

Då kollar vi:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Det ska inte finnas några Shell- och Userinit-nycklar alls här, om det finns, ta bort dem.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Kör

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Och se även till att:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Kör

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Om du inte är säker på om du behöver radera nyckeln kan du först lägga till en "1" till parametern. Sökvägen kommer att vara felaktig, och programmet kommer helt enkelt inte att starta. Sedan kan du återställa det till hur det var.

Nu måste du köra det inbyggda systemrensningsverktyget, vi gör det på samma sätt som vi lanserade registerredigeraren "regedit", men vi skriver:

renmgr

Välj enheten med operativsystemet (C: som standard) och efter skanning, markera alla rutorna utom "Uppdatera paketets säkerhetskopieringsfiler"

Och klicka på "OK". Med den här åtgärden kan vi ha inaktiverat autorun av viruset, och sedan måste vi rensa upp spår av dess närvaro i systemet, och läs om detta i slutet av artikeln.

AVZ-verktyg

Tanken är att vi i säkert läge ska lansera det välkända antivirusverktyget AVZ. Förutom att söka efter virus har programmet bara en massa funktioner för att fixa systemproblem. Denna metod upprepar stegen för att stänga hål i systemet efter att viruset har fungerat, inkl. För att bekanta dig med det, gå vidare till nästa punkt.

Åtgärda problem efter att ha tagit bort ransomware

Grattis! Om du läser detta betyder det att systemet startade utan en banner. Nu måste de kontrollera hela systemet. Om du använde Kasperskys räddningsskiva och kollade där, kan du hoppa över den här punkten.

Det kan också finnas ytterligare ett problem i samband med skurkens aktiviteter - viruset kan kryptera dina filer. Och även efter att ha tagit bort det helt och hållet kommer du helt enkelt inte att kunna använda dina filer. För att dekryptera dem måste du använda program från Kasperskys webbplats: XoristDecryptor och RectorDecryptor. Där finns även bruksanvisningar.

Men det är inte allt, för... Winlocker har med största sannolikhet spelat ett smutsigt trick på systemet, och olika fel och problem kommer att observeras. Till exempel startar inte Registereditorn och Task Manager. För att behandla systemet kommer vi att använda AVZ-programmet.

Det kan uppstå problem när du laddar ned med Google Chrome eftersom... Den här webbläsaren anser att programmet är skadligt och tillåter dig inte att ladda ner det! Den här frågan har redan tagits upp på det officiella Google-forumet, och när jag skrev den här artikeln allt det är redan normalt.

För att ändå ladda ner arkivet med programmet behöver du gå till "Nedladdningar" och där klicka på "Ladda ner skadlig fil" :) Ja, jag förstår att detta ser lite dumt ut, men tydligen tror Chrome att programmet kan skada den genomsnittliga användaren . Och detta är sant, om du petar det någonstans! Därför följer vi strikt instruktionerna!

Vi packar upp arkivet med programmet, skriver det till externa media och kör det på den infekterade datorn. Låt oss gå till menyn "Arkiv -> Systemåterställning", markera rutorna som på bilden och utför åtgärderna:

Nu går vi på följande väg: "Arkiv -> Felsökningsguide", gå sedan till "Systemproblem -> Alla problem" och klicka på "Start"-knappen. Programmet kommer att skanna systemet och sedan i fönstret som visas, markera alla rutor utom "Inaktivera automatiska operativsystemuppdateringar" och de som börjar med frasen "Tillåt autorun från...".

Klicka på knappen "Åtgärda noterade problem". Efter framgångsrikt slutförande, gå till: "Webbläsarinställningar och tweaks -> Alla problem", här markerar vi alla rutor och klickar på knappen "Åtgärda noterade problem" på samma sätt.

Vi gör likadant med “Sekretess”, men markera här inte rutorna som ansvarar för att rensa bokmärken i webbläsare och vad du annars tycker är nödvändigt. Vi slutför kontrollen i avsnitten "Systemrensning" och "Ta bort annonsprogram/verktygsfält/webbläsarkapare".

Slutligen, stäng fönstret utan att lämna AVZ. I programmet hittar vi "Verktyg -> Explorer Extension Editor" och avmarkera de objekt som är markerade med svart. Låt oss nu gå vidare till: "Verktyg -> Internet Explorer Extension Manager" och radera helt alla linjer i fönstret som visas.

Jag har redan sagt ovan att den här delen av artikeln också är ett av sätten att bota Windows från ransomware. Så i det här fallet måste du ladda ner programmet på din arbetsdator och sedan skriva det till en flashenhet eller disk. Vi utför alla åtgärder i ett säkert läge. Men det finns ett annat alternativ för att köra AVZ, även om felsäkert läge inte fungerar. Du måste börja från samma meny när systemet startar, i läget "Felsök din dator".

Om du har det installerat kommer det att visas högst upp i menyn. Om det inte finns där, försök sedan starta Windows tills bannern visas och koppla ur datorn. Slå sedan på den - ett nytt startläge kan erbjudas.

Körs från Windows installationsskiva

Ett annat säkert sätt är att starta från valfri installationsskiva för Windows 7-10 och inte välja "Installera" där, men "Systemåterställning". När felsökaren körs:

  • Du måste välja "Kommandotolk" där.
  • I det svarta fönstret som dyker upp skriver du: "anteckningsblock", d.v.s. starta ett vanligt anteckningsblock. Vi kommer att använda den som en miniledare
  • Gå till menyn "Arkiv -> Öppna", välj filtypen "Alla filer"
  • Hitta sedan mappen med AVZ-programmet, högerklicka på filen som ska startas "avz.exe" och starta verktyget med menyalternativet "Öppna" (inte alternativet "Välj"!).

Om allt annat misslyckas

Syftar på fall där du av någon anledning inte kan starta från en flashenhet med en inspelad Kaspersky-bild eller AVZ-programmet. Allt du behöver göra är att ta bort hårddisken från din dator och ansluta den som en andra enhet till din arbetsdator. Starta sedan från en OINFEKTERAD hårddisk och skanna DIN enhet med en Kaspersky-skanner.

Skicka aldrig SMS som bedragare ber om. Oavsett text, skicka inga meddelanden! Försök att undvika misstänkta webbplatser och filer och läs i allmänhet. Följ instruktionerna så är din dator säker. Och glöm inte antivirus och regelbundna operativsystemuppdateringar!

Här är en video där du kan se allt med ett exempel. Spellistan består av tre lektioner:

PS: vilken metod hjälpte dig? Skriv om det i kommentarerna nedan.

mob_info