Як позбутися банера здирника. Як розблокувати Windows від вірусу-вимагача

Як позбутися банера

З величезним почуттям подяки нашому читачеві, за це посилання на вірусний сайт, де мій комп'ютер можливо заразять банером здирником, я відключив свій антивірус і захист, мова про яку піде нижче і пройшов за цим посиланням. Відкрився сайт, в якому я тільки і встиг розглянути обриси гітари, буквально через секунду, вірусний код, впроваджений в головну сторінку цього сайту, що є javascript, спрацював на виконання і мій робочий стіл був заблокований банером здирником, навіть натиснути ні на що не встиг (Посилання на сайт з вірусом давати вам звичайно не буду, адміністрації цього сайту, я написав пізніше лист і вірус з сайту видалили, а взагалі в житті все може бути, жоден сайт на 100% не застрахований від злому).

Ну, а зараз докладна історія про те, як позбутися банера, якщо Ви його вже зловили. Наведена інформація підходить до операційних систем Windows Vista, .

Перше, що зробимо, зайдемо на сайти провідних антивірусних компаній, що надають послуги розблокування комп'ютера від банера здирника

1. Dr.Web https://www.drweb.com/xperf/unlocker
2. NOD32 http://www.esetnod32.ru/.support/winlock
3. Лабораторії Касперського http://sms.kaspersky.ru

На жаль, код розблокування, підібрати мені не вдалося, мабуть вірус написаний нещодавно.
Друге, що можна спробувати – перезавантажуємо комп'ютер і при завантаженні тиснемо F-8, заходимо в Усунення несправностей, Це якщо у вас встановлена ​​Windows 7, в операційній системі Windows XP йдіть відразу в безпечний режим з підтримкою командного рядка (що робити, читайте трохи нижче).

Нині живемо у комп'ютерну еру. Комп'ютер є тепер у кожному будинку та офісі, і навіть не по одній штуці. Комп'ютери використовуються для навчання та розваги. А якщо є інтернет, то можна сплатити за комунальні послуги та здійснити банківський переказ. Це справді дуже зручно і сильно полегшує наше життя. І все б добре, якби в цій галузі не відбувалися злочини, звані кібер злочинністю, що псують нам настрій і полегшують наш гаманець:-).

Давайте докладніше розберемо, що це таке і як ми можемо з цим боротися.

Електронні платіжні системи Webmoney, Qiwi, Яндекс гроші та інші – всі ми користувалися ними і оцінили їх можливості. Деякі з них більш захищені та мають прив'язку до певного комп'ютера, подвійну автентифікацію через СМС та мобільний додаток, що встановлюється на ваш смартфон або планшет. Деякі менш захищені та зберігають збережені паролі прямо у браузері, звідки, якщо дуже захотіти, їх можна скопіювати та отримати доступ до вашого рахунку. Щоб цього не сталося, необхідно обов'язково захистити свій комп'ютер за допомогою антивірусних програм.

Тому, у вас завжди на комп'ютері має бути встановлена ​​антивірусна програма зі свіжими оновленнями!

Для самих чайників достатньо встановити безкоштовний антивірус Avast. Хоч щось, аніж взагалі нічого.

Давайте розберемо ситуацію, коли на комп'ютері взагалі немає антивірусу. Чим це загрожує? Навіть користування інтернетом протягом двох-трьох годин при невстановленому або відключеному антивірусі забезпечить вам високу ймовірність "нахопити" шкідливих програм з Інтернету. З якою метою ці програми пишуться? А ціль проста: злочинець, коли за це йому загрожує кримінальна відповідальність, не займатиметься поширенням вірусів, якщо не матиме цього істотного доходу… Так і віруси. Останнім часом вони пишуться з метою відібрання ваших грошей прихованим чи явнимметодами.

Трояни

При прихованому способідо вас на комп'ютер встановлюється шкідлива програма, так званий “троян”. Вона проникає через вразливість комп'ютера, наприклад, при відключеному брандмауері або заході на певну групу сайтів. Найчастіше до них належать сайти еротичного змісту. При явному способівідібрання грошей ви самі переводите гроші за розблокування комп'ютера тим чи іншим способом на рахунок злочинців. Причому розблокування насправді може і не бути, тому що після перерахування грошей ви будете злочинцям просто не цікаві.

Вирішив провести ризикований експеримент. Оновив бази антивірусу та зайшов на явно підозрілий сайт, щоб показати вам, як це виглядає. Відразу нам пропонують завантажити якийсь файл драйвера, навіть без уточнення моделі вебкамери.

Назва сайту видно на скріншоті і вона не несе жодного смислового навантаження. Швидше за все, це зроблено навмисне, щоб асоціювати даний сайт за назвою під якомога більшу кількість запитів у пошуковій системі, для того щоб ви не могли помітити невідповідність тематики. Причому на екрані ми бачимо велику кількість тих, хто завантажив і, нібито, подякував.

Сайти-шахраї

Дуже часто при пошуку ми бачимо імітацію сторінок форуму з незрозумілою назвою та пропозицією завантажити потрібний нам файл. Далі йде питання від "користувача": Просять надіслати СМС для завантаження цього файлу. Йому з радістю пояснюють, що це захист від ботів, все перевірено, не турбуйтесь

Зрозуміло, після того, як ви відправите СМС, яка виявиться платною, з вашого рахунку знімуть кругленьку суму під надуманим приводом надання розважальних або інформаційних послуг.

Також ніколи не встановлюйте різного роду Тулбар на свій комп'ютер, незважаючи на всі плюси від цієї установки, які вам барвисто розпишуть спеціально найняті досвідчені автори:

Краще утриматися від заходу на сайти, якщо ми бачимо таке попередження:

Хоча можливо – це просто перестрахування від програмістів Яндекса. Це стосується і різних розширень з неперевірених джерел. Під виглядом цього часто ховаються всілякі віруси.

Банери

Давайте розберемо, як заражається комп'ютер із встановленим антивірусом, але не з останніми базами та увімкненим брандмауером?

Найчастіше недосвідчений користувач сам завантажує на комп'ютер шкідливе програмне забезпечення, не підозрюючи про це. Воно може бути замасковане під будь-що, наприклад, під утиліту або драйвер з архівом, що саморозпаковується, з розширенням *.exe, або навіть, як це сталося з моїм начальником, під важливий лист, нібито від арбітражного суду. Так виглядає один із можливих банерів-вимагачів, який може з'явитися на вашому робочому столі:

Люди бізнесу часто мають багато проблем. Втративши голову, вони одразу скачують вкладення з листа та відкривають його. Причому в цьому випадку файл так і називався "Лист". І навіть значок був у вигляді конверта. Для малоосвічених у комп'ютерній галузі людей цього, на жаль, буває достатньо. Це нас, досвідченіших користувачів, насторожить нестандартне розширення файлу та його іконка.

Після цього на робочому столі з'явився банер під назвою Watnik 91

Кого вони збиралися ввести в оману - незрозуміло, мабуть це все, на що була здатна їхня фантазія.

Так ось на цьому банері був надрукований текст, що всі ваші файли з розширенням DOC, PDF, XLS, JPEG, і, можливо, якісь ще були зашифровані. Розшифрувати їх вдалося, але тільки після двох тижнів листування та відправки зразків зашифрованих файлів на спеціальний сайт, з надання допомоги хелперам.

Видалення банера за допомогою AntiSMS

Я стикався раніше з банерами-вимагачами. У мене на цей випадок є завантажувальний диск під назвою Anti SMS, спеціально створений для боротьби з банерами-вимагачами. Працювати із ним дуже просто. Достатньо протягом перших 5 секунд після старту комп'ютера натиснути кілька разів клавішу входу в BIOS. Для різних версій материнських плат це різні клавіші, наприклад, Delete, F2, F11 та інші, дивіться підказки на екрані монітора відразу після старту ПК.

Після того, як урізана версія ОС (операційної системи) завантажиться в оперативну пам'ять комп'ютера, ми повинні натиснути одну кнопку-іконку на екрані монітора і дочекатися повідомлення, що комп'ютер очищений. Чистить автозапуск комп'ютера в який сам себе прописує вірус. Після перезавантаження комп'ютера ми побачимо, що банер – здирник зник.

Завантажувальний диск або флеш

Як бути, якщо ваш комп'ютер заражений, на екрані висить подібний банер, який блокує вихід в інтернет та роботу комп'ютера, а у вас немає такого диска? Ну от ви опинилися ви не готові до такого повороту подій!?

Тоді можна завантажитися з Live Cd диска Linux, наприклад Ubuntu або Runtu, за промовчанням виходу в інтернет, через Ethernet. Хто в темі ті зрозуміють

І потім скачати утиліту Dr web CureItна флешку

Або зайти і зробити ці дії з іншого комп'ютера. Ця утиліта дозволить очистити ваш комп'ютер від вірусів, після того як ви завантажитеся в Windows у безпечному режимі. Для цього потрібно записати утиліту на флешку, а після завантаження Windows у безпечному режимі, запустити цю утиліту з флешки.

Ця утиліта є повністю безкоштовною та поставляється з останніми версіями баз.

Сподіваюся, що після прочитання цієї статті комп'ютер буде надійно захищений. А якщо банер-вимагач, все-таки з'явиться на вашому робочому столі, ви зможете його швидко і самостійно прибрати.

Після перезавантаження комп'ютера на моніторі відображається вимога надіслати платну смс або покласти гроші на рахунок мобільного телефону?

Знайомтесь, так виглядає типовий вірус здирник! Цей вірус приймає тисячі різних форм та сотні варіацій. Однак його легко дізнатися за простою ознакою: він просить покласти гроші (зателефонувати) на незнайомий номер, а натомість обіцяє розблокувати ваш комп'ютер.Що робити?

Для початку усвідомте, що це вірус, мета якого висмоктати з вас якнайбільше грошей. Саме тому не подайтеся на його провокації.

Запам'ятайте просту річ, не надсилайте жодних смс. Знімуть усі гроші, що є на балансі (зазвичай у вимогі написано 200-300 рублів). Іноді вимагають відправити дві, три та більше смс. Пам'ятайте, вірус нікуди не дінеться з комп'ютера, відправте гроші шахраям чи ні. Trojan winloc залишиться на вашому комп'ютері доти, доки ви самі його не видалите.

План дій такий: 1. Знімаємо блок із комп'ютера 2. Видаляємо вірус та лікуємо комп'ютер.

Способи розблокування комп'ютера:

1. Ввести код розблокуванняв. Найпоширеніший спосіб боротьби з банером непристойного змісту. Код ви зможете знайти ось тут: Dr.web, Kasperskiy, Nod32. Не переживайте, якщо код не підійде, перейдіть до наступного пункту.

2. Спробуйте завантажити безпечний режим. Для цього після увімкнення комп'ютера натисніть F8. При появі вікна варіантів завантаження, вибирайте "безпечний режим із підтримкою драйверів" і чекаємо коли завантажиться система.

2а.Тепер пробуємо відновити систему(пуск-стандартні-службові-відновлення системи) до більш ранньої контрольної точки. 2б. Створіть новий обліковий запис.Заходимо в Пуск – панель управління – облікові записи. Додаємо новий обліковий запис, перезавантажуємо комп'ютер. При включенні вибираємо новостворену облік. Переходимо до .

3. Пробуємо ctrl+alt+del- має з'явитися диспетчер завдань. Запускаємо через диспетчер завдань лікувальні утиліти. (Вибираємо файл - нове завдання і наші програми). Інший спосіб - затискаємо Ctrl+Shift+Esc і затиснувши ці клавіші, шукаєте та видаляєте всі дивні процеси, поки не розблокується робочий стіл.

4. Найнадійніший спосіб- це за новою установкою ОС (операційну систему). Якщо вам важливо зберегти стару ОС, далі ми розглянемо найбільш трудомісткий метод боротьби з цим баннером. Проте не менш ефективний!

Ще спосіб (для просунутих користувачів):

5. Завантажуємося з диска LiveCDна якому є програма редагування реєстру. Система завантажилася, відкриваємо редактор реєстру. У ньому ми побачимо реєстр поточної системи та зараженої (його гілки з лівого боку відображаються підписом у дужках).

Знаходимо ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - там шукаємо Userinit - все видаляємо, що після коми. УВАГА! Сам файл "C:\Windows\system32\userinit.exe" видаляти НЕ МОЖНА.);

Подивіться на значення ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell воно має бути explorer.exe. З реєстром закінчили.

Якщо з'явиться помилка "Редагування реєстру заборонено адміністратором системи", скачайте прогу AVZ. Відкрийте "Файл" - "Відновлення системи" - Позначте пункт "Розблокування редактора реєстру", потім натисніть "Виконати зазначені операції". Редактор знову доступний.

Запускаємо Касперський removal tool та dr.web cureit та скануємо ними всю систему. Залишилося перезавантажитися та повернути налаштування bios. Однак вірус ще не видалено з комп'ютера.

Лікуємо комп'ютер від Trojan WinLock

Для цього нам потрібно:
- Редактор реєстру ReCleaner
- популярний антивірус Tool removal kaspersky
- відомий антивірус Dr.web cureit
- ефективний антивірус Removeit pro
- Утиліта відновлення реєстру Plstfix
- Програма видалення тимчасових файлів ATF cleaner

1. Необхідно позбавитися вірусу в системі. Для цього запускаємо редактор реєстру. Заходимо Меню – Завдання – Запуск редактора реєстру. Потрібно знайти:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - там шукаємо розділ Userinit - все видаляємо, що після коми. УВАГА! Сам файл "C:\Windows\system32\userinit.exe" видаляти НЕ МОЖНА.);

Подивіться на значення ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell там має бути explorer.exe. З реєстром закінчили.

Тепер вибираємо вкладку "Автозавантаження". Переглядаємо елементи автозавантаження, ставимо галочки та видаляємо (правий нижній кут) все, що ви не встановлювали, залишаючи лише desktop та ctfmon.exe. Інші процеси svchost.exe та інші.exe з директорії windows повинні бути видалені.
Вибираємо Завдання - Очищення реєстру - Задіяти усі варіанти. Програма просканує весь реєстр, видаляємо все безповоротно.

2. Щоб знайти сам код, нам потрібні такі утиліти: Касперський, Dr.Web та RemoveIT. Примітка: RemoveIT попросить оновити бази сигнатур вірусів. Потрібно встановити з'єднання з Інтернетом на час його оновлення!
Цими програмами скануємо системний диск та видаляємо все, що вони знаходять. Якщо є бажання, можна про всяк випадок перевірити всі диски комп'ютера. Займе набагато більше часу, але так надійніше.

3. Наступна утиліта Plstfix. Вона відновлює реєстр після наших дій над ним. В результаті почне працювати диспетчер завдань і безпечний режим.

4. Про всяк випадок видаліть усі тимчасові файли. Часто копії вірусу ховаються у цих папках. Отак навіть відомі антивіруси можуть їх не виявити. Краще вручну видалити те, що не позначиться на роботі системи. Встановлюємо ATF Cleaner, все відзначаємо та видаляємо.

5. Перевантажуємо систему. Все працює! навіть краще, ніж раніше :).

Сьогодні я хочу поговорити про SMS-вимаганняза допомогою Інтернету та комп'ютера . Тобто випадках, коли ваш комп'ютер після відвідування певних сайтів заражається банерами, які блокують роботу системи повністю або частково. Щоб розблокувати, потрібно надіслати повідомлення на короткий номер.

Спочатку розберемося, які типи банерів-вимагачів бувають. До першого типу відносять банери, які з'являються лише під час запуску інтернет-браузерів (Internet Explorer, Opera, Mozilla Firefox, Google Chrome тощо). Дані банери ще називають інформерами .

Другий типбанерів розміщується на робочому столі і займає більшу його частину, при цьому не блокуючи запуск інших програм, дозволяючи відкривати Головне меню, Диспетчер завдань і т.д.

Третій типбанерів – найнеприємніший. Він повністю блокує роботу комп'ютера, вимагаючи надсилання SMS-повідомлення на короткий номер. У відповідь обіцяється код розблокування. До системи неможливо нормально зайти навіть у Безпечному режимі. Пам'ятайте одне: ніколи не надсилайте SMS на вказані номери! Це шахрайство чистої води, яке підпадає під відповідні статті Кримінального кодексу. Ще жодного разу жодному користувачеві не надійшло відповідне SMS-повідомлення з кодом розблокування банера.

Отже, невідомо яким чином, але банер проникнув до вас на комп'ютер. Чи це сталося після того, як ви пройшли за посиланням, вказаним в електронному листі, чи просто скачали щось — варіантів безліч. Що ж робити у такому разі? Спочатку потрібно визначитися, якого типу банер-вимагач засів у вашому комп'ютері. Якщо він закривається разом з браузером - це перший їх різновид, якщо запускаються Диспетчер завдань, Блокнот, Ворд або будь-які інші програми - другий різновид, якщо ж нічого не допомагає і банер висить - третій.

Для видалення першого різновиду здирника Вам необхідно ретельно переглянути всі налаштування браузера та видалити всі плагіни, доповнення та розширення, які Ви не встановлювали. Те саме робимо для аплетів JavaScript та DLL-бібліотек.

Другий тип SMS-вимагачів не настільки легко вичистити із системи, але і це можливо. Шлях перший полягає в тому, щоб відвідати сайт будь-якої антивірусної компанії. Дедалі більші компанії вже досить давно розмістили на своїх офіційних сайтах інформацію про те, як можна видалити банер-вимагач «легальними» способами. Потрібно знайти на сайті інформацію, яка стосується саме того короткого номера, на який Вам пропонується надіслати SMS-повідомлення. Там же на сайті дається і код розблокування, причому абсолютно безкоштовно. Після розблокування оновіть бази антивірусних сигнатур для антивірусу, який у вас встановлений, і запустіть повну перевірку всього комп'ютера. Всю знайдену інфекцію безжально видаляйте. Якщо ж у Вас не встановлено жодного антивірусу, то скачайте з сайту Dr.Web безкоштовну утиліту CureIt і перевірте комп'ютер нею. Після перевірки почистіть реєстр спеціальною утилітою – чистильником реєстру, або зробіть це вручну, якщо, звичайно, ви в цьому знаєтеся.

Якщо ж у Вас третій тип банера-вимагача, то без диска LiveCD або без зняття вашого вінчестера і під'єднання його до іншого комп'ютера не обійтися. Порядок дій тут такий: завантажуєтеся з диска, запускаєте CureIt, перевіряєте комп'ютер на заразу і все знайдене видаляєте. Знову ж таки запускаєте чистильник реєстру, і видаляєте ключі, які мали відношення до шкідливих програм. Якщо LiveCD диска у Вас немає, то підключіть Ваш вінчестер до іншого комп'ютера, і запустіть антивірус на ньому, попередньо, звичайно, оновивши вірусні бази. Після цього перезавантажуємось і насолоджуємося життям.

Напевно, кожен четвертий користувач персонального комп'ютера стикався з шахрайством в інтернеті. Один із видів обману – це банер, який блокує роботу Windows та вимагає відправити СМС на платний номер або вимагає криптовалюту. По суті, це просто вірус.

Щоб боротися з банером-вимагачем, потрібно зрозуміти, що він є і як проникає в комп'ютер. Зазвичай банер виглядає так:

Але можуть бути й інші різні варіації, але суть одна - шахраї хочуть заробити на вас.

Шляхи влучення вірусу в комп'ютер

Перший варіант "зараження" - це піратські програми, утиліти, ігри. Звичайно, користувачі інтернету звикли отримувати більшість бажаного в мережі на халяву, але при завантаженні з підозрілих сайтів піратського ПЗ, ігор, різних активаторів та іншого, ми ризикуємо заразитися вірусами. У цій ситуації зазвичай допомагає.

Windows може бути заблокований через завантажений файл з розширенням « .exe». Це не говорить про те, що потрібно відмовлятися від завантаження файлів із таким розширенням. Просто пам'ятайте, що « .exe» може відноситися лише до ігор та програм. Якщо ви качаєте відео, пісню, документ або картинку, а в її назві на кінці є «.exe», то шанс появи банера здирника різко зростає до 99.999%!

Є ще хитрий хід з нібито необхідністю оновлення Flash плеєра або браузера. Можливо так, що ви будете працювати в інтернеті, переходити зі сторінки на сторінку і одного разу виявите напис що «ваш Flash плеєр застарів, оновіться будь ласка». Якщо ви натискаєте на цей банер, і він вас веде не на офіційний сайт adobe.com, то це 100% вірус. Тому перевіряйте, перш ніж натиснути на кнопку «Оновити». Найкращим варіантом буде ігнорування подібних повідомлень зовсім.

І останнє застарілі оновлення Windows послаблюють захист системи. Щоб комп'ютер був захищеним, намагайтеся вчасно інсталювати оновлення. Цю функцію можна налаштувати в "Панелі управління -> Центр оновлення Windows"на автоматичний режим, щоб не відволікатися.

Як розблокувати Windows 7/8/10

Один із простих варіантів прибрати банер-вимагач – це . Допомагає 100%, але встановлювати заново Windows має сенс тоді, коли у вас немає важливих даних на диску «С», які ви не встигли зберегти. При перевстановленні системи всі файли видаляться з системного диска. Тому, якщо у вас немає бажання заново встановлювати програмне забезпечення та ігри, ви можете скористатися іншими способами.

Після лікування та успішного запуску системи без банера здирника потрібно провести додаткові дії, інакше вірус може знову випливти, або просто будуть деякі проблеми в роботі системи. Все це є наприкінці статті. Уся інформація перевірена особисто мною! Тож почнемо!

Kaspersky Rescue Disk + Windows Unlocker нам допоможе!

Використовуватимемо спеціально розроблену операційну систему. Уся складність у тому, що на робочому комп'ютері потрібно завантажити образ або (перегорнути статті, там є).

Коли це буде готово, потрібно. У момент запуску з'явиться невелике повідомлення, типу Press any key to boot from CD or DVD. Тут потрібно натиснути будь-яку кнопку на клавіатурі, інакше запуститься заражений Windows.

При завантаженні натискаємо будь-яку кнопку, потім вибираємо мову - "Російська", приймаємо ліцензійну угоду за допомогою кнопки "1" і використовуємо режим запуску - "Графічний". Після запуску операційної системи Касперського не звертаємо уваги на сканер, що автоматично запустився, а йдемо в меню «Пуск» і запускаємо «Термінал»

Відкриється чорне віконце, куди пишемо команду:

windowsunlocker

Відкриється невелике меню:

Вибираємо "Розблокувати Windows" кнопкою "1". Програма сама все перевірить та виправить. Тепер можна закрити вікно та перевірити, що вже запущений сканер, весь комп'ютер. У віконці ставимо галочку на диску з ОС Windows і тиснемо "Виконати перевірку об'єктів"

Чекаємо на закінчення перевірки (може бути довго) і, нарешті, перезавантажуємося.

Якщо у вас ноутбук без мишки, а тачпад не запрацював, пропоную скористатися текстовим режимом диска Касперського. У цьому випадку після запуску операційної системи потрібно спочатку закрити меню кнопкою «F10», потім ввести в командному рядку все ту ж команду: windowsunlocker

Розблокування у безпечному режимі, без спеціальних образів

Сьогодні віруси типу Winlocker порозумнішали і блокують завантаження Windows у безпечному режимі, тому швидше за все у вас нічого не вийде, але якщо образа немає, то спробуйте. Віруси бувають різні і у всіх можуть спрацювати різні методи, але принцип один.

Перезавантажуємо комп'ютер. Під час завантаження потрібно натискати клавішу F8, доки не з'явиться меню додаткових варіантів запуску Windows. Нам потрібно за допомогою стрілочок "вниз" вибрати зі списку пункт, який називається «Безпечний режим із підтримкою командного рядка».

Ось сюди ми повинні потрапити та вибрати потрібний рядок:

Далі, якщо все піде добре, комп'ютер завантажиться, і ми побачимо робочий стіл. Чудово! Але це не означає, що тепер все працює. Якщо не видалити вірус і просто перезавантажитись у нормальному режимі, то банер знову спливе!

Лікуємо засобами Windows

Потрібно відновити систему, коли банера блокувальника ще не було. Уважно прочитайте статтю та зробіть усе, що там написано. Під статтею є відео.

Якщо не допомогло, то натискаємо кнопки Win+R і пишемо в віконці команду, щоб відкрити редактор реєстру:

regedit

Якщо ж замість робочого столу запустився чорний командний рядок, то просто вводимо команду regedit і тиснемо Enter. Нам доведеться перевірити деякі розділи реєстру на наявність вірусних програм, або, якщо бути точніше, шкідливого коду. Для початку цієї операції зайдіть ось цим шляхом:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

Тепер по порядку перевіряємо такі значення:

• Shell – тут обов'язково має бути написано «explorer.exe», інших варіантів не повинно бути
• Userinit – тут текст повинен бути "C:\Windows\system32\userinit.exe,"

Якщо ОС встановлена ​​на інший диск, відмінний від C:, відповідно і буква там буде інша. Щоб змінити неправильні значення, натисніть правою кнопкою миші по рядку, який потрібно відредагувати, та виберіть «змінити»:

Потім перевіряємо:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Тут взагалі не повинно бути ключів Shell і Userinit, якщо є видаляємо їх.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

І ще обов'язково:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Якщо не впевнені, чи потрібно видаляти ключ, можна до параметра спочатку дописати одиницю «1». Шлях виявиться помилкою, і ця програма просто не запуститься. Згодом можна буде повернути як було.

Тепер потрібно запустити вбудовану утиліту очищення системи, робимо це так само, як запускали редактор реєстру «regedit», але пишемо:

cleanmgr

Вибираємо диск із операційною системою (за замовчуванням C:) і після сканування відзначаємо всі галочки, крім «Файли резервної копії пакета оновлень»

І тиснемо "ОК". Цією дією ми, можливо, відключили автозапуск вірусу, а далі потрібно почистити сліди його перебування в системі, а про це читайте наприкінці статті.

Утиліта AVZ

Полягає в тому, що в безпечному режимі ми запустимо відому антивірусну утиліту AVZ. Крім пошуку вірусів, програма має просто масу функцій виправлення системних проблем. Цей спосіб повторює дії із зашпаровування дірок у системі після роботи вірусу, т.ч. для ознайомлення з ним переходимо до наступного пункту.

Виправлення проблем після видалення вірусу-вимагача

Вітаю! Якщо ви це читаєте, то система запустилася без банера. Тепер потрібно перевірити їм всю систему. Якщо ви користувалися рятівним диском Касперського і провели перевірку там, цей пункт можна пропустити.

Ще може бути одна проблема, пов'язана з діяльністю лиходія - вірус може зашифрувати ваші файли. І навіть після його повного видалення ви просто не зможете скористатися своїми файлами. Для їх дешифрації потрібно використовувати програми із сайту Касперського: XoristDecryptor та RectorDecryptor. Там є інструкція з використання.

Але це ще все, т.к. вінлокер швидше за все напакостив у системі, і будуть спостерігатися різні глюки та проблеми. Наприклад, не запускатиметься редактор реєстру та диспетчер завдань. Щоб полікувати систему скористаємося програмою AVZ.

При завантаженні за допомогою Google Chrome може виникнути проблема. цей браузер вважає програму шкідливою та не дає її завантажити! Це питання вже порушувалося на офіційному форумі гугла, і на момент написання статті все вже нормально.

Щоб все-таки завантажити архів з програмою, потрібно перейти в «Завантаження» і там натиснути «Скачати шкідливий файл». І це правда, якщо тицяти там куди не потрапивши! Тому суворо дотримуємося інструкції!

Розпаковуємо архів із програмою, записуємо на зовнішній носій та запускаємо на зараженому комп'ютері. Ідемо в меню "Файл -> Відновлення системи", відзначаємо галочки як на картинці та виконуємо операції:

Тепер йдемо наступним шляхом: «Файл -> Майстер пошуку та усунення проблем», далі переходимо в «Системні проблеми -> Усі проблеми»і клацаємо по кнопці «Пуск». Програма просканує систему, і потім у вікні, що з'явиться, виставляємо всі галочки крім «Відключення оновлення операційної системи в автоматичному режимі» і тих, які починаються з фрази «Дозволений автозапуск з…».

Клацаємо по кнопці «Виправити зазначені проблеми». Після успішного завершення переходимо по: «Налаштування та твікі браузера -> Всі проблеми», тут виставляємо всі галочки і так само натискаємо на кнопку «Виправити зазначені проблеми».

Те саме робимо і з «Приватністю», але тут не ставте галочки, які відповідають за чищення закладок у браузерах і що вам здасться потрібним. Закінчуємо перевірку в розділах "Чистка системи" та "Adware/Toolbar/Browser Hijacker Removal".

Під кінець закриваємо вікно, не виходячи з AVZ. У програмі знаходимо "Сервіс -> Редактор розширень провідника"і прибираємо галочки з тих пунктів, що позначені чорним кольором. Тепер переходимо по: "Сервіс -> Менеджер розширень Internet Explorer"і повністю стираємо всі рядки в вікні.

Вище я вже сказав, що цей розділ статті також є одним із способів лікування Windows від банера-вимагача. Так ось, у цьому випадку скачати програму потрібно на робочому комп'ютері і потім записати на флешку або диск. Усі дії проводимо у безпечному режимі. Але ще один варіант запустити AVZ, навіть якщо не працює безпечний режим. Потрібно запуститися, з того ж меню під час завантаження системи, у режимі «Усунення несправностей комп'ютера»

Якщо воно встановлено, то буде відображатися на самому верху меню. Якщо там немає, спробуйте запустити Віндовс до моменту появи банера і вимкнути комп'ютер з розетки. Потім увімкніть – можливо буде запропоновано новий режим запуску.

Запуск із інсталяційного диска Windows

Ще один вірний спосіб - це завантажитися з будь-якого інсталяційного диска Windows 7-10 і вибрати там не "Установку", а "Відновлення системи". Коли засіб усунення несправностей запущено:

• Потрібно там вибрати «Командний рядок»
• У чорному вікні пишемо: «notepad», тобто. запускаємо звичайний блокнот. Його ми будемо використовувати як міні-провідник
• Ідемо в меню "Файл -> Відкрити", тип файлів вибираємо "Всі файли"
• Далі знаходимо папку з програмою AVZ, клацаємо правою кнопкою по файлу «avz.exe», що запускається, і запускаємо утиліту за допомогою пункту меню «Відкрити» (не пункт «Вибрати»!).

Якщо нічого не допомагає

Належить до випадків, коли ви, з якихось причин, не можете завантажитися з флешки із записаним чином Касперського або програмою AVZ. Вам залишається лише дістати з комп'ютера жорсткий диск та підключити його другим диском до робочого комп'ютера. Потім завантажитися з незараженого жорсткого диска і просканувати свій диск сканером Касперського.

Ніколи не надсилайте SMS-повідомлення, які вимагають шахраї. Яким би не був текст, не надсилайте повідомлення! Намагайтеся уникати підозрілих сайтів та файлів, а взагалі почитайте . Дотримуйтесь інструкцій, і тоді ваш комп'ютер буде в безпеці. І не забувайте про антивірус та регулярне оновлення операційної системи!

Ось відео де все видно на прикладі. Плейлист складається з трьох уроків:

PS: Який спосіб допоміг Вам? Напишіть про це у коментарях нижче.