Efektívne metódy na odstránenie banneru ransomware (winlocker). Odstránenie bannera z pracovnej plochy, odomknutie systému Windows

04.09.2019

Trójske kone Winlocker sú typom malvéru, ktorý zablokovaním prístupu na plochu vymáha od používateľa peniaze – vraj ak prevedie požadovanú sumu na účet útočníka, dostane odblokovací kód.

Ak po zapnutí počítača uvidíte namiesto pracovnej plochy:

Alebo niečo iné v rovnakom duchu – s hrozivými nápismi a niekedy s obscénnymi obrázkami sa neponáhľajte obviniť svojich blízkych zo všetkých hriechov. Oni, a možno aj vy sami, ste sa stali obeťou ransomvéru trojan.winlock.

Ako sa blokátory ransomvéru dostanú do počítača?

Najčastejšie sa blokátory dostávajú do počítača nasledujúcimi spôsobmi:

prostredníctvom hacknutých programov, ako aj nástrojov na hackovanie plateného softvéru (crack, keygeny atď.);
sťahujú sa prostredníctvom odkazov zo správ v sociálnych sieťach, ktoré údajne posielajú známi, ale v skutočnosti - votrelci z napadnutých stránok;
stiahnuté z phishingových webových zdrojov, ktoré napodobňujú známe stránky, ale v skutočnosti sú vytvorené špeciálne na šírenie vírusov;
prichádzajú e-mailom vo forme príloh sprievodných listov so zaujímavým obsahom: „boli ste zažalovaní...“, „boli ste odfotografovaní na mieste činu“, „vyhrali ste milión“ a podobne.

Pozor! Pornografické bannery nie sú vždy stiahnuté z porno stránok. Môže a s tými najobyčajnejšími.

Rovnakým spôsobom sa distribuuje ďalší typ ransomvéru – blokátory prehliadačov. Napríklad takto:

Požadujú peniaze za prístup k prehliadaniu webu cez prehliadač.

Ako odstrániť banner "Windows je zablokovaný" a podobne?

Keď je pracovná plocha zamknutá, keď vírusový banner bráni spusteniu akýchkoľvek programov v počítači, môžete urobiť nasledovné:

prejdite do núdzového režimu s podporou príkazového riadka, spustite editor databázy Registry a odstráňte kľúče automatického spustenia bannera.
spustite systém z disku Live CD („živý“ disk), napríklad príkaz ERD, a odstráňte banner z počítača prostredníctvom registra (kľúče automatického spustenia) aj pomocou prieskumníka (súbory).
naskenujte systém z bootovacieho disku antivírusom, ako je Dr.Web LiveDisk resp Kaspersky Rescue Disk 10.

Metóda 1: Odstránenie winlocker z núdzového režimu s podporou konzoly.

Ako teda odstrániť banner z počítača cez príkazový riadok?

Na počítačoch so systémom Windows XP a 7 musíte pred spustením systému rýchlo stlačiť kláves F8 a vybrať označenú položku z ponuky (vo Windows 8 \ 8.1 takáto ponuka neexistuje, takže musíte spustiť systém z inštalačného disku a odtiaľ spustite príkazový riadok).

Namiesto pracovnej plochy sa pred vami otvorí konzola. Ak chcete spustiť editor databázy Registry, zadajte do neho príkaz regedit a stlačte Enter.

Potom otvorte editor databázy Registry, nájdite v ňom záznamy o vírusoch a opravte to.

Ransomvérové bannery sú najčastejšie registrované v sekciách:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- tu menia hodnoty parametrov Shell, Userinit a Uihost (posledný parameter je len vo Windows XP). Musíte ich opraviť do normálu:

shell=explorer.exe
Userinit = C:\WINDOWS\system32\userinit.exe, (C: je písmeno systémovej oblasti. Ak je systém Windows na jednotke D, cesta k Userinit bude začínať písmenom D:)
Uihost=LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- pozri parameter AppInit_DLLs. Normálne môže chýbať alebo mať prázdnu hodnotu.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- tu ransomvér vytvorí nový parameter s hodnotou ako cestou k súboru blokátora. Názov parametra môže byť reťazec písmen, napríklad dkfjghk. Musí sa úplne odstrániť.

To isté platí pre nasledujúce sekcie:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Ak chcete opraviť kľúče databázy Registry, kliknite pravým tlačidlom myši na nastavenie, vyberte položku Upraviť, zadajte novú hodnotu a kliknite na tlačidlo OK.

Potom reštartujte počítač v normálnom režime a vykonajte antivírusovú kontrolu, ktorá odstráni všetky súbory ransomware z vášho pevného disku.

Metóda 2. Odstránenie winlocker pomocou ERD Commander.

ERD commander obsahuje veľkú sadu nástrojov na obnovu systému Windows, vrátane prípadu, keď je poškodený blokovacími trójskymi koňmi. Pomocou vstavaného editora registra ERDregedit môžete vykonávať rovnaké operácie, ktoré sme opísali vyššie.

ERD commander bude nevyhnutný, ak je Windows zablokovaný vo všetkých režimoch. Jeho kópie sa šíria nelegálne, no dajú sa ľahko nájsť na nete.

Sady príkazov ERD pre všetky verzie systému Windows sa nazývajú zavádzacie disky MSDaRT (Microsoft Diagnostic & Recavery Toolset), dodávajú sa vo formáte ISO, ktorý je vhodný na napálenie na DVD alebo prenos na USB flash disk.

Po zavedení z takéhoto disku musíte vybrať svoju verziu systému a v ponuke kliknúť na editor databázy Registry.

Vo Windows XP je postup mierne odlišný – tu je potrebné otvoriť ponuku Štart (Štart), vybrať Nástroje na správu a Editor databázy Registry.

Po úprave registra znova spustite systém Windows - s najväčšou pravdepodobnosťou neuvidíte nápis „Počítač je zamknutý“.

Metóda 3. Odstránenie blokátora pomocou antivírusového "záchranného disku".

Toto je najjednoduchší, ale aj najdlhší spôsob odomykania. Stačí napáliť obraz Dr.Web LiveDisk alebo Kaspersky Rescue Disk na DVD, nabootovať z neho, spustiť skenovanie a počkať na koniec. Vírus bude zabitý.

Rovnako efektívne je odstrániť bannery z počítača pomocou diskov Dr.Web a Kaspersky.

Ako chrániť počítač pred blokátormi?

Nainštalujte si spoľahlivý antivírus a majte ho stále aktívny.
Pred spustením skontrolujte bezpečnosť všetkých súborov stiahnutých z internetu.
Neklikajte na neznáme odkazy.
Neotvárajte prílohy e-mailov, najmä tie, ktoré prichádzajú v listoch so zaujímavým textom. Dokonca aj od svojich priateľov.
Sledujte, aké webové stránky navštevujú vaše deti. Použite rodičovskú kontrolu.
Ak je to možné, nepoužívajte pirátsky softvér – mnohé platené programy možno nahradiť bezpečnými bezplatnými.

Používatelia sa často stávajú obeťami vírusov, ktoré vážne narúšajú prácu v systéme Windows. Pozoruhodným príkladom je blokovanie pracovnej plochy bannerom. To sa stane, ak ste sa nestarali o ochranu svojho počítača. Nemôžete vykonávať žiadne akcie, OS je uzamknutý a na obrazovke je napísané niečo ako „Porušili ste zákon. Doplňte si také a také mobilné číslo, inak prídete o všetky dáta. Tento článok popisuje, ako odstrániť takýto banner z pracovnej plochy vášho počítača.

Musíte pochopiť, že ide o podvod. Nič si neporušil, v legislatíve nie sú žiadne klauzuly o blokovaní pracovnej plochy používateľa. V žiadnom prípade nesledujte podvodníkov a neposielajte im svoje peniaze.

S najväčšou pravdepodobnosťou to ani nepomôže - odomknutie pomocou kódu pravdepodobne nepomôže zbaviť sa vírusu a banner zostane v počítači.

Aby ste sa zbavili takýchto problémov, často sa odporúča jednoducho preinštalovať operačný systém. Samozrejme, určite pomôže odinštalovanie a preinštalovanie Windowsu. Ale to je dlhá cesta. Nezabudnite, že stále musíte nainštalovať všetky potrebné ovládače a programy.

Tento článok popisuje jednoduchšie a rýchlejšie spôsoby, ako sa zbaviť bannerov ransomvéru.

Spustenie v núdzovom režime

Ak zistíte, že pri spustení systému Windows sa objaví banner, ktorý blokuje všetky funkcie počítača, musíte spustiť operačný systém v diagnostickom režime. Postupujte podľa uvedených pokynov:

Tým sa dostanete do diagnostického režimu systému Windows. Ak ste uspeli a banner tu nie je, prejdite na ďalšiu časť návodu. Ak je v tomto režime zámok, budete musieť spustiť počítač pomocou LiveCD (popísané nižšie).

Bannerový vírus spravidla upravuje určité položky v registri, čo spôsobuje poruchu systému Windows. Vašou úlohou je nájsť všetky tieto zmeny a odstrániť ich.

Úprava registra

Vyvolajte dialógové okno "Spustiť" pomocou klávesových skratiek "Win" a "R". V okne, ktoré sa otvorí, musíte zadať príkaz "regedit" a stlačiť kláves Enter. Dostanete sa do Editora databázy Registry systému Windows. Postupujte pozorne podľa pokynov, aby ste nič nezmeškali.

Pomocou adresára na ľavej strane okna programu musia používatelia otvoriť nasledujúce adresáre:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Aktuálna verzia/Spustiť

Tu musíte nájsť záznam zodpovedný za automatické spustenie bannera pri štarte systému. Ďalej by sa mal odstrániť. Kliknite pravým tlačidlom myši na položku a v kontextovej ponuke, ktorá sa otvorí, vyberte možnosť „Odstrániť“. Všetko podozrivé pokojne vymažte, nijako to neovplyvní chod vášho systému. Ak odstránite niečo zbytočné, napríklad automatické spustenie Skype, môžete všetko vrátiť.

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon

V tomto priečinku musíte nájsť parameter s názvom „Shell“ a priradiť mu hodnotu „explorer.exe“. Ďalej nájdite položku „Userinit“ a nastavte jej hodnotu na "C:\Windows\system32\userinit.exe". Ak chcete položky upraviť, jednoducho na ne dvakrát kliknite.

HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon

Hľadajte aj možnosti „Userinit“ a „Shell“. Niekde si zapíšte ich hodnoty - to sú cesty k vášmu banneru. Vymažte oba záznamy. Nemali by byť v tomto adresári.

Prevencia

Keď sa vám podarí odstrániť všetky nepotrebné položky z registra Windows, môžete editor zavrieť a reštartovať počítač. Systém by sa mal spustiť bez problémov.

Teraz musíte odstrániť "chvosty", ktoré zostali zo škodlivého skriptu. Otvorte Windows Explorer (Tento počítač). Nájdite súbory, na ktoré odkazujú „nesprávne“ možnosti „Shell“ a „Userinit“ a odstráňte ich.

Potom je veľmi dôležité skontrolovať systém antivírusovým programom. Najlepšie najdôkladnejšia kontrola, ktorú má váš antivírus. Ak nemáte žiadnu ochranu systému, ihneď si stiahnite a nainštalujte. Môžete napríklad použiť bezplatný program od spoločnosti Microsoft – Security Essentials. Môžete si ho stiahnuť z tohto odkazu - https://www.microsoft.com/en-us/download/details.aspx?id=5201 .

Nasledujúca príručka popisuje, ako odstrániť banner, ak sa otvorí aj počas spustenia núdzového režimu systému Windows.

Vytvorenie živého CD od spoločnosti Kaspersky

Ak nemôžete odstrániť banner v núdzovom režime, mali by ste použiť LiveCD. Ide o špeciálny mini-OS, ktorý sa zapisuje na disk alebo flash disk. Pomocou neho môžete spustiť a upraviť poškodený register alebo spustiť automatický nástroj na riešenie problémov.

Môžete napríklad použiť bezplatnú službu od spoločnosti Kaspersky Lab. Ak to chcete urobiť, musíte vytvoriť zavádzaciu jednotku USB Flash alebo disk na inom funkčnom počítači:

Odomknite cez Live CD Kaspersky

Ak chcete odstrániť následky vírusovej infekcie, budete musieť urobiť nasledovné:

Inštalačný disk

Na odstránenie následkov vírusovej infekcie môžete použiť aj inštalačný disk vášho operačného systému. Musíte sa k tomu uchýliť, keď sa banner objaví ihneď po pípnutí systému BIOS a nemáte možnosť použiť iné prostriedky.

Vložte inštalačný disk alebo zavádzaciu jednotku USB Flash s obrazom systému a reštartujte počítač. Vyvolajte Boot Menu a vyberte boot z externého média. V prípade potreby stlačte ľubovoľný kláves na klávesnici. Ďalej je na príklade systému Windows 7 opísané odstránenie následkov vírusového útoku.

Vyberte jazyk rozhrania a kliknite na Ďalej. Kliknite na hypertextový odkaz v spodnej časti obrazovky "Obnovenie systému". Otvorí sa nové okno s výzvou na výber "Príkazový riadok".

V konzole, ktorá sa otvorí, zadajte príkaz „bootrec.exe /FixMbr“ a stlačte kláves Enter. Potom zadajte ďalší príkaz - "bootrec.exe / FixBoot" a znova stlačte kláves Enter. Zadajte tiež riadok "bcdboot.exe c:\windows" (Ak je systém nainštalovaný na inom disku, musíte ho špecifikovať). Reštartujte počítač a problém sa vyrieši.

Tí, ktorí majú „šťastie“, že sa s takýmto malvérom stretnú, dobre pochopia, aký nepríjemný a závažný je tento problém. Len si predstavte, stiahli ste si nejaký súbor z internetu, napríklad e-knihu. Otvorte teda stiahnutý archív a zrazu sa na celej obrazovke zobrazí správa, že počítač je zamknutý a na jeho odomknutie je potrebné doplniť účet alebo previesť peniaze do peňaženky. Okrem toho určite bude hroziť, že pri nesplnení požiadaviek môže dôjsť k strate pre vás dôležitých dát, poškodeniu vašej reputácie rôznymi spôsobmi a dokonca aj poškodeniu a zlyhaniu počítača. To je všetko, už sa nedá nič robiť, počítač nereaguje na žiadne príkazy a nepomáha ani reštart a pokus o zavolanie správcu úloh.

Nebojte sa, všetky tieto hrozby sú len blaf, a čo je ešte viac, nemali by ste nikomu prevádzať žiadne peniaze. Takéto vírusy okrem blokovania vášho PC nedokážu nič iné. Vytvárajú ich študenti alebo vo všeobecnosti deti, ktoré jednoducho použili hotový obrobok v nádeji ľahkého zisku.

Takýmto malvérom sa môžete nakaziť stiahnutím niečoho z internetu. Bežné je tiež dostať sa do počítača cez zraniteľnosti v prehliadači. Nikto pred tým nie je v bezpečí, pretože ak sa chcete nakaziť, stačí ísť na infikovanú stránku.

Keď sa takéto vírusy dostanú do počítača, zaregistrujú sa pri štarte a zablokujú činnosť všetkých kľúčových aplikácií, ktoré môžete použiť, pričom celú obrazovku pokrývajú blokovacou správou. Ale bez ohľadu na to, aká strašná je táto vec, takéhoto malvéru sa môžete zbaviť bez veľkého úsilia.

Odstránenie bannera Systém Windows je zablokovaný

Na obrázkoch nižšie sú príklady bannerov.

V prvom rade by ste mali pochopiť, že by ste sa nemali riadiť pokynmi na banneri. Nikomu neposielajte peniaze a neposielajte SMS, kľúč na odomknutie vám aj tak nikto nepošle a vy len vyhodíte peniaze. Namiesto toho sa riaďte nasledujúcimi odporúčaniami, ktoré vám pomôžu zbaviť sa systému Winlock.

Najprv nájdite akýkoľvek iný funkčný počítač alebo smartfón. A prostredníctvom neho navštívte stránky antivírusových spoločností DrWeb alebo Kaspersky. Nájdete tam špeciálne služby na výber kľúčov na odomknutie. Zadajte tam požadované údaje, po ktorých sa vygeneruje kľúč. Vezmite túto palicu, chik a napíšte ju do poľa bannera, ktorý zablokoval počítač. Táto metóda často pomáha.

Na webových stránkach Kaspersky a DoctorWeb si tiež môžete stiahnuť pomôcku, pomocou ktorej môžete skenovať počítač na prítomnosť škodlivého softvéru.

(označené číslom 1 na obrazovke)

Ak sa stretnete s programom, ktorý šifruje údaje, ktoré sú pre vás dôležité a navyše vyžaduje peniaze, potom musíte použiť rôzne doplnkové programy, ktoré ich dokážu dešifrovať. (označené číslom 2 na obrazovke)

Odporúčam vám, aby ste si takéto nástroje napísali na USB flash disk alebo disk vopred, aby ste v prípade potreby mohli použiť potrebné nástroje bez toho, aby ste sa uchýlili k pomoci ďalšieho počítača.

Ako spustiť OS, ak je Windows zablokovaný?

Spustite systém Windows v núdzovom režime. Ak to chcete urobiť, po zapnutí počítača pred spustením systému Windows musíte stlačiť kláves F8. Pomocou šípok na klávesnici môžete vybrať požadovaný režim zavádzania. Bude to dobré znamenie, ak sa vírus nespustí v núdzovom režime. Ak sa winlock stále spustí, môžete skúsiť iný režim, kde je podpora príkazového riadku. Ak to v žiadnom z prípadov nepomohlo, zostáva ešte jedna možnosť - spustiť OS zo zavádzacej jednotky USB flash alebo disku.

Ak chcete vytvoriť takýto flash disk alebo disk, musíte si stiahnuť Windows PE. A zapíšte stiahnutý obraz disku na vhodné pamäťové médium. Potom hneď po zapnutí počítača a zobrazení obrazovky Bios stlačte kláves Del (alebo F2 / F10 / F12, v závislosti od základnej dosky, zistíte v pokynoch). Dostanete sa do ponuky nastavenia Bios, v ktorej musíte najskôr nainštalovať disk alebo usb do frontu zavádzania OS a uložiť zmeny. Nezabudnite vložiť disk/flash disk a reštartovať počítač. Potom sa spustí Windows PE, v ktorom už bude pomerne bohatá sada nástrojov potrebná na odstránenie winlockeru.

Ak sa vám podarilo spustiť natívny operačný systém, skenujte pomocou antivírusových nástrojov zaznamenaných na pamäťovom médiu. Ak sa spustenie uskutočnilo pomocou systému Windows PE, spustite tieto aplikácie z jednotky USB flash. Okrem toho môžete používať aplikácie, ktoré sú súčasťou tohto operačného systému Windows.

Ako odomknúť počítač ručne?

Veľmi často táto metóda pomáha: prostredníctvom správcu súborov vymažte všetky dočasné priečinky Temp a priečinok Application Data (umiestnený v domovskom priečinku používateľa).

Úplne vymažte vyrovnávaciu pamäť všetkých nainštalovaných prehliadačov. Odstráňte súbor, prostredníctvom ktorého ste sa infikovali, ak existuje. Po všetkých týchto krokoch reštartujte počítač. Ak vás toto všetko pred bannerom nezachránilo, vyskúšajte nasledujúce odporúčania.

Vyhľadajte všetky súbory s posledným dátumom úpravy, aby bolo možné vypočítať súbory winlock. Pomerne často môžete deaktivovať vírus resetovaním dátumu BIOS niekoľko rokov dopredu alebo dozadu.

Ak sa vám podarilo spustiť natívny systém v núdzovom režime, potom je čistenie registra povinným krokom. Otvorte editor registra cez aplikáciu Spustiť zadaním príkazu regedit. Ak existuje podpora príkazového riadka, rovnaký príkaz možno zadať do konzoly.

Ďalej musíte prejsť do tejto vetvy: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Venujte pozornosť takému parametru, ako je Shell, ktorý by mal obsahovať „explorer.exe“ a v parametri userinit by mal byť "\WINDOWS\system32\userinit.exe". Ak hodnoty týchto parametrov nie sú rovnaké, zmeňte ich na tie, ktoré by mali byť. Bolo by lepšie tieto hodnoty prepísať, aj keď sa nelíšia.

Je potrebné si pozrieť pobočku spojenú s autoloadingom, ktorá sa na takejto ceste nachádza.

Prosím o vašu účasť na mojom probléme. Moja otázka je takáto: Ako odstrániť banner: "Odoslať SMS", operačný systém Windows 7. Mimochodom, aj druhý systém na mojom počítači s Windows XP bol pred mesiacom zablokovaný bannerom, tak som rádoby užívateľ. Nemôžem vstúpiť do núdzového režimu, ale podarilo sa mi vstúpiť do Riešenie problémov s počítačom a odtiaľ spustiť Obnovovanie systému a vyskytla sa chyba - Na systémovej jednotke tohto počítača nie sú žiadne body obnovenia.

Odblokovací kód na stránke Dr.Web, rovnako ako ESET, sa nepodarilo nájsť. Nedávno bol takýto banner odstránený od známeho pomocou LiveCD ESET NOD32 System Recovery Disk, ale v mojom prípade to nepomôže. Skúšal aj Dr.Web LiveCD. Rok som menil hodiny v BIOSe dopredu, banner nezmizol. Na rôznych fórach na internete sa odporúča opraviť parametre UserInit a Shell vo vetve registra HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Ale ako sa tam dostanem? S LiveCD? Takmer všetky LiveCD disky sa nepripájajú k operačnému systému a také operácie ako úprava registra, prezeranie spúšťacích objektov, ako aj protokoly udalostí z takéhoto disku nie sú dostupné alebo sa mýlim.

Vo všeobecnosti sú na internete informácie o tom, ako odstrániť banner, ale v zásade nie sú úplné a zdá sa mi, že veľa ľudí si tieto informácie niekam skopíruje a zverejní na svojej stránke, aby to bolo len tak, ale opýtajte sa ich ako to všetko funguje, pokrčte plecami. Myslím, že to nie je váš prípad, ale vo všeobecnosti chcem vírus nájsť a odstrániť sám, už ma nebaví preinštalovať systém. A posledná otázka – je zásadný rozdiel v spôsoboch odstránenia banneru ransomware v operačných systémoch Windows XP a Windows 7. Viete mi pomôcť? Sergej.

Ako odstrániť banner

Existuje niekoľko spôsobov, ktoré vám pomôžu zbaviť sa vírusu, nazýva sa tiež Trojan.Winlock, ale ak ste začiatočník, všetky tieto metódy si budú vyžadovať trpezlivosť, vytrvalosť a pochopenie, že nepriateľ to myslí vážne. ty, ak sa nebojíš, začnime.

Článok sa ukázal byť dlhý, ale všetko uvedené naozaj funguje v operačnom systéme Windows 7 aj vo Windows XP, ak je niekde rozdiel, určite tento bod označím. Najdôležitejšie je vedieť odstrániť banner a vrátiť operačný systém - rýchlo, nie vždy to vyjde, ale je zbytočné vkladať peniaze na účet vydieračov, nedostanete žiadny kód na odomknutie odpovede, takže je tu motivácia bojovať o váš systém.
Priatelia, v tomto článku budeme pracovať s Windows 7 Recovery Environment, presnejšie s príkazovým riadkom Recovery Environment. Dám vám potrebné príkazy, ale ak je pre vás ťažké si ich zapamätať, môžete. To vám výrazne uľahčí prácu.

Začnime tým najjednoduchším a skončíme tým najzložitejším. Ako odstrániť banner pomocou núdzového režimu. Ak sa vaše surfovanie po internete skončilo neúspešne a neúmyselne ste si nainštalovali škodlivý kód, musíte začať tým najjednoduchším – skúste vstúpiť do núdzového režimu (žiaľ, vo väčšine prípadov sa vám to nepodarí, ale za pokus to stojí), ale Určite budete môcť vstúpiť(pravdepodobnejšie), musíte urobiť to isté v oboch režimoch, pozrime sa na obe možnosti.

V počiatočnej fáze načítania počítača stlačte F-8, potom si vyberte, ak sa vám to podarí, môžete povedať, že máte veľké šťastie a úloha je pre vás zjednodušená. Prvá vec, ktorú môžete vyskúšať, je vrátiť späť pomocou bodov obnovenia do minulosti. Kto nevie, ako používať obnovenie systému, prečítajte si podrobne tu -. Ak Obnovovanie systému nefunguje, skúste niečo iné.

Do poľa Spustiť zadajte msconfig,

V priečinku by ste tiež nemali mať nič, . Alebo sa nachádza na

C:\Users\Username\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Dôležitá poznámka: Priatelia, v tomto článku sa budete musieť zaoberať hlavne priečinkami, ktoré majú prívlastok Hidden (napríklad AppData a pod.), preto hneď ako sa dostanete do Bezpečnostný mód alebo Núdzový režim s podporou príkazového riadku, okamžite zapnite systém zobraziť skryté súbory a priečinky, inak jednoducho neuvidíte potrebné priečinky, v ktorých sa vírus ukrýva. Je to veľmi jednoduché.

Windows XP
Otvorte ľubovoľný priečinok a kliknite na ponuku „ Nástroje“, vyberte „ Možnosti priečinka“, potom prejdite na kartu „ Zobraziť» Ďalej úplne dole začiarknite položku „“ a kliknite na tlačidlo OK

Windows 7
Štart -> Ovládací panel->Zobraziť: Kategória -Malé ikony ->Možnosti priečinka ->Zobraziť. Úplne dole začiarknite políčko „ Zobraziť skryté súbory a priečinky».

Takže späť k článku. Pozeráme sa na priečinok, nemali by ste v ňom nič mať.

Uistite sa, že v koreňovom adresári disku (C :) nie sú žiadne neznáme a podozrivé priečinky a súbory, napríklad s takým nezrozumiteľným názvom OYSQFGVXZ.exe, ak existujú, je potrebné ich odstrániť.

Teraz pozor: V systéme Windows XP odstraňujeme podozrivé súbory (príklad je viditeľný vyššie na snímke obrazovky) s podivnými názvami a

s príponou .exe z priečinkov

C:\
C:\Documents and Settings\Username\Application Data
C:\Documents and Settings\Username\Local Settings
C:\Documents and Settings\Username\Local Settings\Temp- odtiaľto vymažte všetko, toto je priečinok dočasných súborov.

Windows 7 má dobrú úroveň zabezpečenia a vo väčšine prípadov nedovolí škodlivému softvéru vykonávať zmeny v registri a veľká väčšina vírusov má tiež tendenciu dostať sa do adresára dočasných súborov:
C:\USERS\username\AppData\Local\Temp, odtiaľto môžete spustiť spustiteľný súbor.exe. Napríklad uvádzam infikovaný počítač, na snímke obrazovky vidíme súbor vírusu 24kkk290347.exe a ďalšiu skupinu súborov vytvorených systémom takmer súčasne spolu s vírusom, všetko je potrebné vymazať.

Nemalo by v nich byť nič podozrivé, ak áno, vymažeme to.

A určite:

Vo väčšine prípadov vyššie uvedené kroky odstránia banner a zavedú systém normálne. Po normálnom spustení skontrolujte celý počítač pomocou bezplatného antivírusového skenera s najnovšími aktualizáciami - Dr.Web CureIt, stiahnite si ho z webovej stránky Dr.Web.

Poznámka: Normálne spustený systém môžete okamžite infikovať vírusom znova tým, že prejdete online, pretože prehliadač otvorí všetky stránky stránok, ktoré ste nedávno navštívili, medzi nimi bude prirodzene aj vírusová stránka, ako aj vírusový súbor. môžu byť prítomné v dočasných priečinkoch prehliadača. Nájdeme a, ktoré ste nedávno použili na: C:\Users\Username\AppData\Roaming\Názov prehliadača, (napríklad Opera alebo Mozilla) a ešte na jednom mieste C:\Users\Username\AppData\Local\Názov vášho prehliadača, kde (C:) je oddiel s nainštalovaným operačným systémom. Samozrejme, po tejto akcii sa stratia všetky vaše záložky, no riziko opätovného nakazenia sa výrazne zníži.

Núdzový režim s podporou príkazového riadku.

Ak po tomto všetkom váš banner stále žije, nevzdávajte sa a čítajte ďalej. Alebo prejdite aspoň do stredu článku a prečítajte si úplné informácie o oprave nastavení registra v prípade infekcie bannera ransomware.

Čo mám robiť, ak sa nemôžem dostať do núdzového režimu? Skúste Núdzový režim s podporou príkazového riadku, tam robíme to isté, ale je v tom rozdiel v príkazoch Windows XP a Windows 7.

Použiť obnovenie systému.
V systéme Windows 7 zadajte rstrui.exe a stlačte kláves Enter - dostaneme sa do okna Obnovenie systému.

Alebo skúste zadať príkaz: explorer - spustí sa akási plocha, kde môžete otvoriť môj počítač a urobiť to isté ako v núdzovom režime - skontrolovať počítač na vírusy, pozri priečinok Po spustení a koreňový adresár disku (C: ), ako aj dočasné súbory adresára: podľa potreby upravte register atď.

Ak chcete spustiť obnovenie systému Windows XP, do príkazového riadka zadajte - %systemroot%\system32\restore\rstrui.exe,

aby sme sa dostali do Windows XP v prieskumníkovi a okne Tento počítač, ako v siedmom, napíšeme príkaz prieskumník.

tu musíte najprv zadať príkaz explorer a dostanete sa priamo na pracovnú plochu. Mnoho ľudí nemôže prepnúť predvolené ruské rozloženie klávesnice na angličtinu na príkazovom riadku pomocou kombinácie alt-shift, potom skúste shift-alt naopak.

Už tu prejdite do ponuky Štart a potom Spustiť.

potom vyberte Spustenie - odstráňte z neho všetko, potom urobte všetko, čo ste urobili v koreňovom adresári disku (C:), odstráňte vírus z adresára dočasných súborov: C:\USERS\username\AppData\Local\Temp, upravte register podľa potreby ( všetky podrobnosti sú popísané vyššie.).

Obnovenie systému. Veci pre nás budú trochu iné, ak sa nemôžete dostať do núdzového režimu a núdzového režimu s podporou príkazového riadka. Znamená to, že vy ani ja nemôžeme použiť obnovenie systému? Nie, neznamená to, že je možné vrátiť sa späť pomocou bodov obnovenia, aj keď sa váš operačný systém nespustí v žiadnom režime. Vo Windows 7 je potrebné použiť prostredie obnovy, v úvodnej fáze spúšťania počítača stlačte F-8 a vyberte z ponuky Riešenie problémov s počítačom,

V okne Možnosti obnovenia znova vyberte položku Obnovovanie systému,

Teraz pozor, ak stlačíte F-8 menu Riešenie problémov nie je k dispozícii, potom máte poškodené súbory obsahujúce prostredie na obnovenie systému Windows 7.

Dá sa to zaobísť bez Live CD? V zásade áno, prečítajte si článok až do konca.

Teraz sa zamyslime nad tým, ako budeme konať, ak Obnovenie systému nemožno spustiť žiadnym spôsobom alebo ak bolo úplne deaktivované. Najprv sa pozrime, ako odstrániť banner pomocou odblokovacieho kódu, ktorý láskavo poskytujú spoločnosti zaoberajúce sa antivírusovým softvérom Dr.Web, ako aj ESET NOD32 a Kaspersky Lab, v tomto prípade budete potrebovať pomoc priateľov. Je potrebné, aby jeden z nich prešiel do služby odomknutia, napríklad Dr.Web

https://www.drweb.com/xperf/unlocker/

http://www.esetnod32.ru/.support/winlock/

ako aj Kaspersky Lab

http://sms.kaspersky.ru/ a do tohto poľa zadajte telefónne číslo, na ktoré potrebujete previesť peniaze na odomknutie počítača, a kliknite na tlačidlo - Hľadať kódy. Ak sa nájde odblokovací kód, zadajte ho do okna bannera a kliknite na Aktivácia alebo čokoľvek, čo ste tam napísali, banner by mal zmiznúť.

Ďalším jednoduchým spôsobom odstránenia bannera je použitie obnovovacieho disku alebo, ako sa tiež nazýva, záchrana z a. Celý proces od stiahnutia, napálenia obrazu na prázdne CD a kontroly počítača na prítomnosť vírusov je podrobne popísaný v našich článkoch, môžete sledovať odkazy, nebudeme sa tým zaoberať. Mimochodom, záchranné disky od antivírusových spoločností nie sú vôbec zlé, dajú sa použiť ako LiveCD - vykonávať rôzne operácie so súbormi, napríklad kopírovať osobné údaje z infikovaného systému alebo spustiť Dr.Web CureIt, liečebnú utilitu od USB flash disk. A v záchrannom disku ESET NOD32 je úžasná vec, ktorá mi už nie raz pomohla - Userinit_fix , ktorá opraví dôležité nastavenia registra na počítači infikovanom bannerom - Userinit, vetvy HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon .

Ako to všetko opraviť ručne, čítajte ďalej.
Priatelia, ak si niekto prečíta tento článok ďalej, potom som veľmi rád, že vás vidím, to najzaujímavejšie začne teraz, ak sa vám podarí asimilovať a ešte viac aplikovať tieto informácie v praxi, mnohí obyčajní ľudia, ktorých bez vydieračského banneru vás bude považovať za skutočného hackera.

Nerobme si ilúzie, osobne mi všetko popísané vyššie pomohlo presne v polovici prípadov zablokovania počítača vírusom-blokátorom - Trojan.Winlock. Druhá polovica si vyžaduje dôkladnejšie zváženie problému, ktorému sa budeme venovať.
V skutočnosti blokuje váš operačný systém, teda Windows 7 alebo Windows XP, vírus robí svoje vlastné zmeny v registri, ako aj v priečinkoch Temp obsahujúcich dočasné súbory a priečinku C:\Windows->system32. Tieto zmeny musíme opraviť. Nezabudnite tiež na priečinok Štart->Všetky programy->Po spustení. Teraz o tom všetkom podrobne.

Urobte si čas priatelia, najskôr vám presne popíšem, kde presne sa čo potrebuje opraviť a potom ukážem ako a s akými nástrojmi.

V systémoch Windows 7 a Windows XP banner ransomware ovplyvňuje rovnaké nastavenia UserInit a Shell v registri v

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
V ideálnom prípade by mali byť takéto:
Userinit - C:\Windows\system32\userinit.exe,
Shell-explorer.exe

Kontrolujte všetko hláskovaním po písmene, niekedy namiesto userinit narazíte napríklad na usernit alebo userlnlt.
Musíte tiež skontrolovať parameter AppInit_DLLs vo vetve registra HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, ak tam niečo nájdeš, napríklad C:\WINDOWS\SISTEM32\uvf.dll, toto všetko treba vymazať.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce nemalo by na nich byť nič podozrivé.

A určite:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (malo by byť prázdne) a vo všeobecnosti by tu tiež nemalo byť nič zbytočné. ParseAutoexec by sa mala rovnať 1 .

Z dočasných priečinkov musíte tiež odstrániť VŠETKO (na túto tému je aj článok), ale v systéme Windows 7 a Windows XP sú umiestnené trochu inak:

Windows 7:
C:\Users\Username\AppData\Local\Temp. Radi sa tu usádzajú najmä vírusy.
C:\Windows\Temp
C:\Windows\
Windows XP:
C:\Documents and Settings\User Profile\Local Settings\Temp
C:\Documents and Settings\User Profile\Local Settings\Temporary Internet Files.
C:\Windows\Temp
C:\Windows\Prefetch
Nebude zbytočné pozrieť si priečinok C:\Windows->system32 v oboch systémoch, všetky súbory končiace na .exe a dll s dátumom v deň, kedy bol váš počítač infikovaný bannerom. Tieto súbory je potrebné odstrániť.

A teraz sa pozrite, ako to všetko zvládne začiatočník a potom skúsený používateľ. Začnime so systémom Windows 7 a potom prejdite na XP.

Ako odstrániť banner v systéme Windows 7, ak bola funkcia Obnovovanie systému vypnutá?

Predstavte si ten najhorší scenár. Prihlásenie do systému Windows 7 je blokované bannerom ransomware. Obnovovanie systému je zakázané. Najjednoduchšie je prejsť do systému Windows 7 pomocou jednoduchého obnovovacieho disku (môžete to urobiť priamo v operačnom systéme Windows 7 – podrobne popísané v našom článku), použiť môžete aj jednoduchý inštalačný disk Windows 7 alebo ktorýkoľvek z najjednoduchšie LiveCD. Spustite prostredie obnovy, vyberte Obnovenie systému a potom vyberte príkazový riadok

a napíšeme do neho -notepad, dostaneme sa do programu Poznámkový blok, potom Súbor a Otvoriť.

Prejdeme do skutočného prieskumníka, klikneme na Môj počítač.

Ideme do priečinka C:\Windows\System32\Config , tu zadáme Typ súboru - Všetky súbory a vidíme naše súbory registra, vidíme aj priečinok RegBack,

Plánovač úloh v ňom každých 10 dní vytvorí záložnú kópiu kľúčov databázy Registry – aj keď máte vypnutú funkciu Obnovovanie systému. Tu sa dá vymazať súbor SOFTWARE z priečinka C:\Windows\System32\Config, ktorý je zodpovedný za podregister registrov HKEY_LOCAL_MACHINE\SOFTWARE, najčastejšie tu robí svoje zmeny vírus.

A na jeho miesto skopírujte a prilepte súbor s rovnakým názvom SOFTWARE zo záložnej kópie priečinka RegBack.

Vo väčšine prípadov to bude stačiť, ale ak chcete, môžete nahradiť všetkých päť podregistrov registra z priečinka RegBack v priečinku Config: SAM , SECURITY , SOFTWARE , DEFAULT , SYSTEM .

Ďalej urobíme všetko tak, ako je napísané vyššie - vymažeme súbory z dočasných priečinkov Temp, pozrieme sa do priečinka C:\Windows->system32 pre súbory s príponou .exe a dll s dátumom v deň infekcie a samozrejme sa pozrieme v obsahu priečinka Po spustení.

V systéme Windows 7 sa nachádza:

C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Windows XP:

C:\Documents and Settings\All Users\Main Menu\Programs\Startup.

Ako to robia skúsení používatelia, myslíte si, že používajú jednoduché LiveCD alebo obnovovací disk Windows 7? Ďaleko od priateľov používajú veľmi profesionálny nástroj - Microsoft Diagnostic and Recovery Toolset (DaRT) Verzia: 6.5 pre Windows 7- ide o profesionálnu zostavu utilít umiestnených na disku a potrebných pre správcov systému na rýchle obnovenie dôležitých nastavení operačného systému. Ak vás tento nástroj zaujal, prečítajte si náš článok.

Mimochodom, dokáže sa perfektne pripojiť k vášmu operačnému systému Windows 7. Nabootovaním počítača z disku Microsoft Recovery Disk (DaRT) môžete upravovať register, priraďovať heslá, mazať a kopírovať súbory, používať Obnovovanie systému a mnoho iného. Samozrejme, nie každé LiveCD má takéto funkcie.
Spustíme náš počítač z tohto, ako sa tiež nazýva, resuscitačný disk Microsoft (DaRT), Inicializujeme sieťové pripojenie na pozadí, ak nepotrebujeme internet, odmietame.

Priraďte písmená jednotiek rovnakým spôsobom ako v cieľovom systéme - povedzte Áno, je to pohodlnejšie pracovať týmto spôsobom.

Nebudem popisovať všetky nástroje, keďže toto je téma na veľký článok a pripravujem ho.
Zoberme si prvý nástroj Editor databázy Registry, nástroj, ktorý vám umožní pracovať s registrami pripojeného operačného systému Windows 7.

Prejdeme na parameter Winlogon vetvy HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon a súbory jednoducho upravíme ručne - Userinit a Shell . Ako dôležité by mali byť, už viete.

Userinit - C:\Windows\system32\userinit.exe,
Shell-explorer.exe

V našom prípade je potrebné vyčistiť dočasné priečinky Temp od všetkého, koľko ich je a kde sa nachádzajú vo Windows 7, už viete z polovice článku.
Ale pozor! Keďže súprava nástrojov Microsoft Diagnostic and Recovery Tools je plne pripojená k vášmu operačnému systému, nebudete môcť vymazať napríklad súbory databázy Registry – SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, pretože prebiehajú, no vykonajte zmeny.

Ako odstrániť banner v systéme Windows XP

Opäť ide o nástroj, navrhujem použiť ERD Commander 5.0 (odkaz na článok vyššie), ako som povedal na začiatku článku, je špeciálne navrhnutý na riešenie takýchto problémov v systéme Windows XP. ERD Commander 5.0 vám umožní priamo sa pripojiť k operačnému systému a urobiť všetko, čo sme urobili so sadou nástrojov Microsoft Diagnostic and Recovery Tools v systéme Windows 7.
Spustíme počítač z obnovovacieho disku. Vyberte prvú možnosť na pripojenie k infikovanému operačnému systému.

Vyberte register.

Pozeráme sa na parametre UserInit a Shell vo vetve HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Ako som uviedol vyššie, mali by mať takú hodnotu.
Userinit - C:\Windows\system32\userinit.exe,
Shell-explorer.exe

Pozrieme sa aj na HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs – musí byť prázdny.

Ďalej prejdite do prieskumníka a odstráňte všetko z dočasných priečinkov Temp.
Ako inak môžete odstrániť banner v systéme Windows XP pomocou nástroja ERD Commander (mimochodom, táto metóda je použiteľná pre akékoľvek Live CD). Môžete to skúsiť urobiť aj bez pripojenia k operačnému systému. Stiahnite si ERD Commander a pracujte bez pripojenia k Windows XP,

v tomto režime budeme môcť odstrániť a nahradiť súbory databázy Registry, pretože nebudú zahrnuté do práce. Vyberte položku Prieskumník.

Súbory databázy Registry v operačnom systéme Windows XP sa nachádzajú v priečinku C:\Windows\System32\Config. A záložné kópie súborov databázy Registry vytvorené počas inštalácie systému Windows XP sa nachádzajú v priečinku opravy umiestnenom v C:\Windows\repair.

Robíme to isté, najskôr skopírujeme súbor SOFTWARE,

a potom môžete aj zvyšné súbory registra - SAM , SECURITY , DEFAULT , SYSTEM postupne z priečinka opravy a nahradiť ich rovnakými v priečinku C:\Windows\System32\Config. Nahradiť súbor? Súhlasíme - Áno.

Chcem povedať, že vo väčšine prípadov stačí nahradiť jeden súbor SOFTWARE. Nahradením súborov databázy Registry z priečinka opravy existuje veľká šanca na zavedenie systému, ale väčšina zmien, ktoré ste vykonali po inštalácii systému Windows XP, sa stratí. Zvážte, či je táto metóda pre vás vhodná. Nezabudnite zo spustenia odstrániť všetko, čo nepoznáte. V zásade by sa klient MSN Messenger nemal vymazávať, ak ho potrebujete.

A pre dnešok posledný spôsob, ako sa zbaviť banneru ransomware pomocou disku ERD Commander alebo akéhokoľvek Live CD

Ak ste mali v systéme Windows XP povolenú funkciu Obnovovanie systému, ale nemôžete ju použiť, môžete to skúsiť urobiť. Prejdeme do priečinka C:\Windows\System32\Config, ktorý obsahuje súbory databázy Registry.

Posuvníkom otvorte celý názov súboru a vymažte SAM, ZABEZPEČENIE, SOFTWARE, PREDVOLENÉ, SYSTÉM. Mimochodom, pred vymazaním si ich pre každý prípad môžete niekam skopírovať, nikdy neviete čo. Možno si chcete prehrať.

Ďalej prejdite do priečinka System Volume Information\_restore(E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2)\RP\ snímka , tu skopírujeme súbory, ktoré sú záložnými kópiami našej vetvy registra HKEY_LOCAL_MACHINE\
REGISTER_MACHINE\SAM
REGISTRY_MACHINE\SECURITY
REGISTRY_MACHINE\SOFTWARE
REGISTER_MACHINE\DEFAULT
REGISTER_MACHINE\SYSTEM

Vložte ich do priečinka C:\Windows\System32\Config

Potom prejdeme do priečinka Config a premenujeme ich, pričom vymažeme REGISTRY_MACHINE \, čím ponecháme nové súbory registra SAM , SECURITY , SOFTWARE , DEFAULT , SYSTEM .

Potom vymažeme obsah priečinkov Temp a Prefetch, vymažeme všetko z priečinka Po spustení, ako je uvedené vyššie. Budem rád ak niekto pomôže. Okrem článku je napísaný jeden malý a zaujímavý, môžete si ho prečítať.

Každý piaty majiteľ osobného počítača bol napadnutý podvodníkmi na World Wide Web. Populárnym typom podvodu sú trójske kone winlocker – sú to bannery, ktoré blokujú pracovné postupy systému Windows a vyžadujú odoslanie SMS na platené číslo. Ak sa chcete takéhoto ransomvéru zbaviť, musíte zistiť, aké hrozby predstavuje a ako sa dostane do systému. V obzvlášť zložitých prípadoch budete musieť kontaktovať servisné stredisko.

Ako sa vírusové bannery dostanú do počítača?

Prvým v zozname zdrojov infekcie sú pirátske programy pre prácu a voľný čas. Nezabúdajte, že používatelia internetu si zvykli získať softvér online zadarmo. Ale sťahovanie softvéru z podozrivých stránok so sebou nesie vysoké riziko infekcie bannerov.

Blokovanie systému Windows sa často vyskytuje pri otvorení stiahnutého súboru s príponou „.exe“. Samozrejme, toto nie je axióma, nemá zmysel odmietnuť sťahovanie softvéru s takýmto rozšírením. Stačí si zapamätať jednoduché pravidlo – „.exe“ je rozšírenie inštalácie hier alebo programov. A jeho prítomnosť v názve súborov videa, zvuku, obrázkov alebo dokumentov maximalizuje pravdepodobnosť infikovania počítača trójskym koňom „winlocker“.

Druhá najbežnejšia metóda je založená na výzve na aktualizáciu flash prehrávača alebo prehliadača. Vyzerá to takto: pri prechádzaní zo stránky na stránku pri surfovaní na internete sa objaví nápis tohto typu - „váš prehliadač je zastaraný, nainštalujte si aktualizáciu“. Takéto bannery nevedú na oficiálnu webovú stránku. Súhlas s ponukou upgradu na zdroji tretej strany v 100% prípadov povedie k infekcii systému.

Ako odstrániť banner ransomware z počítača

Existuje len jeden spôsob so 100% zárukou - preinštalovanie systému Windows. Jediné mínus, ale veľmi odvážne - ak nemáte archív dôležitých údajov z disku "C", potom sa pri štandardnej reinštalácii stratia. Nehoríte túžbou preinštalovať programy a hry kvôli banneru? Potom stojí za to venovať pozornosť iným metódam. Všetky spadajú do dvoch hlavných kategórií:

Existuje prístup do núdzového režimu;
Nie je možné použiť núdzový režim spustenia.

Vírusy sa neustále zdokonaľujú a môžu deaktivovať akýkoľvek režim zavádzania operačného systému. Preto prvá možnosť odstránenia bannera z počítača nebude vždy fungovať.

So všetkými rôznymi metódami kontroly škodcov sú všetky operácie zredukované na jeden princíp. Po dokončení postupu odstránenia a úspešnom reštarte systému (ak neexistujú žiadne bannery ransomvéru) sú potrebné ďalšie opatrenia. V opačnom prípade sa vírus znova objaví alebo počítač zamrzne. Pozrime sa na dva najbežnejšie spôsoby, ako sa tomu vyhnúť.

Bezpečnostný mód

Počítač reštartujeme stlačením klávesu F8, kým sa nezobrazí ponuka ďalších možností zavádzania OS. V ňom pomocou šípok na klávesnici vyberte zo zoznamu riadok „Núdzový režim s podporou príkazového riadka“.

Ak malvér neprenikol hlboko do systému, zobrazí sa pracovná plocha. Prostredníctvom tlačidla "Štart" vyberte "Hľadať súbory a programy". V zobrazenom okne vyplňte príkaz „regedit“. Tu budete potrebovať základné znalosti o počítačových systémoch, aby ste mohli vyčistiť register od vírusu a odstrániť jeho následky.

Začíname s adresárom:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon. V ňom postupne študujeme 2 pododseky. Shell - mala by byť prítomná iba položka „explorer.exe“. Ostatné hodnoty - znak bannera - sú vymazané. Userinit by mal obsahovať "C:\Windows\system32\userinit.exe". Namiesto písmena „C“ to môže byť iné, ak je operačný systém spustený z iného lokálneho disku.

HKEY_CURRENT_USER (podobné podadresáre). Ak sú vyššie uvedené podpoložky, musia sa odstrániť.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Čisteniu podliehajú všetky podozrivé riadky s nezmyselnými názvami – napríklad „skjgghydka.exe“. Existujú pochybnosti o poškodení súboru registra? V skutočnosti proces odstraňovania nie je potrebný. Pridajte „1“ na začiatok jeho názvu. V prípade chyby sa nespustí av prípade potreby môžete vrátiť pôvodnú hodnotu.
HKEY_CURRENT_USER (podadresáre). Akcie ako v predchádzajúcom odseku.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce. Všetky operácie opakujeme.
HKEY_CURRENT_USER (ďalšia cesta ako v odseku vyššie). Robíme podobné kroky.

Na konci všetkých akcií spustite systémový nástroj "cleanmgr". Po výbere lokálneho disku so systémom Windows spustíme skenovanie. Ďalej v okne, ktoré sa zobrazí, začiarknite všetky položky okrem "Záložné súbory Service Pack". Po spustení pomôcky zostáva vyčistiť a odstrániť účinky vírusu.

Obnovenie systému na kontrolný bod

Na odstránenie bannera z počítača použijeme štandardné obnovenie systému do existujúceho bodu uloženia, ktorý predchádzal vzhľadu winlockeru. Proces sa spustí cez príkazový riadok zadaním hodnoty „rstrui“. V okne, ktoré sa otvorí, môžete vybrať odporúčaný dátum alebo nastaviť svoj vlastný zo zoznamu.

Obnova bude nejaký čas trvať a skončí sa reštartovaním systému. Výsledkom bude úplné odstránenie škodlivého softvéru. V niektorých prípadoch sa môže zobraziť hlásenie, že systém nie je možné obnoviť. Pri tejto možnosti zostáva len kontaktovať servisné stredisko. Je lepšie to urobiť, ak nemáte potrebné zručnosti na prácu s registrom.

Chráňte svoj počítač pred zablokovaním

Ktokoľvek sa môže stretnúť s trójskym koňom Winlocker. Vyhnúť sa nervóznej situácii je jednoduché, ak budete dodržiavať jednoduché bezpečnostné pravidlá:

Nainštalujte funkčný antivírusový program;
Neotvárajte v e-mailoch podozrivé e-maily;
Neklikajte na kontextové správy na internete;
Pravidelne aktualizujte svoj operačný systém.

Ak sa však už vyskytli problémy, pomôže vám servisné stredisko Recomp. Naši špecialisti odstránia blokovacie programy a iné vírusy, odstránia stopy ich prítomnosti a zlepšia fungovanie operačného systému. S nami je ľahké vyhnúť sa strate dôležitých údajov a v prípade potreby stratené súbory obnovíme!

Je zadarmo

Najnovšie články

2022-02-25 09:08:33
Ako otvoriť ods. Ako otvoriť ODS? Tabuľka opendocument ods ako open
2022-02-25 09:08:33
Navrhovanie skupiny VKontakte s prihliadnutím na inovácie
2022-02-25 09:08:33
Ovládače skenera Canon

Populárne články

Voľba redaktora

2022-02-20 16:29:30

Aktualizácie z viacerých miest
V predvolenom nastavení systém Windows odosiela množstvo vašich osobných údajov na svoje servery, niekedy dokonca bez toho, aby vás o to požiadal. Postupujte podľa týchto pokynov, aby ste...
2022-02-20 16:29:30

Čo je súbor, priečinok a odkaz?
Na obrazovke vášho monitora je veľké množstvo rôznych priečinkov a ikon, ktoré majú štandardný vzhľad. Možno ste unavení z ich známeho vzhľadu a vy ...
2022-02-20 16:29:30

Ako pridať položku do kontextového menu Windows Nastavte systémový atribút z kontextového menu
Každý používateľ Windows vie, že bez ohľadu na program môže kliknutie pravým tlačidlom myši vyvolať dodatočné, takzvané kontextové menu, ...
2022-02-20 16:29:30

ako vložiť heslo do súboru programu Excel ako zakódovať súbor programu Excel
Tabuľkové hárky sú takým prechodným druhom medzi databázami a ich programovaním a zbieraním hromady odpadkov v súbore (MS Word) Word. Excelchik...
2022-02-20 16:29:30

Bezplatný online zostavovač PDF, syntaktický analyzátor a kompresor
Keď sa používateľ naučil a dokonale sa naučil prepínať medzi položkami obsahu, môže sa tam zastaviť - vo väčšine prípadov ...