Kuinka päästä eroon ransomware-bannerista Windows 7:ssä. Tehokkaat menetelmät ransomware-bannerin poistamiseen (Winlocker). Ongelmien korjaaminen kiristysohjelmien poistamisen jälkeen

Vanhassa Windowsissa, esimerkiksi XP:ssä, tämä ongelma ilmeni melko usein - kun olet ladannut sisältöä Internet-resursseista tai yksinkertaisesti vieraillut sivustoilla, "troijalainen" otettiin käyttöön käyttöjärjestelmän käynnistykseen. Tällaisia troijalaisia ohjelmia oli monia, mutta suurin osa niistä oli mainoksia - bannereita. Win7:n tulon jälkeen ongelma näytti katoavan, mutta jonkin ajan kuluttua bannerit palasivat. Useimmat bannerit voidaan poistaa hyvin yksinkertaisesti muutamalla näppäimen painalluksella, mutta tämän tekemiseksi sinun on maksettava huijareille.

Tässä artikkelissa opit pääsemään eroon ransomware-bannerista täysin ilmaiseksi. Artikkeli on kirjoitettu käyttämättä mitään epäselviä termejä, joten sinulla ei pitäisi olla ongelmia.

Menetelmä 1.

Kuvataan, kuinka käyttöjärjestelmän mukana ladattu banneri poistetaan.

Helpoin tapa poistaa se on avaamalla työpöydän lukitus. Voit tehdä tämän siirtymällä virustentorjuntavalmistajan verkkosivustolle - Kaspersky Lab tai Doctor Web. Näiltä sivustoilta etsimme avaimia, jotka on suunniteltu avaamaan työpöydän lukitus. Sinun on käytettävä palautuslomaketta. Tarkista myös kiintolevysi virusten varalta.

Menetelmä 2 .

Tässä tapauksessa on parempi käyttää ilmaisia ohjelmia - CureIt ja Kaspersky Virus Removal Tool. Nämä ohjelmat auttavat, niiden avulla sinun ei tarvitse miettiä, kuinka päästä eroon banneriviruksesta. Ne ladataan täysin ilmaiseksi, ja tarkistuksen jälkeen ne poistetaan automaattisesti. Ne eivät häiritse muita virustorjuntaohjelmia.

3 Menetelmä. Tarkastellaan monimutkaisempaa menetelmää - Windows-käyttöjärjestelmä ei lataudu.

Joissakin tapauksissa Windows ei lataudu ponnahdusbannerin vuoksi, koska... Latausnäytön sijaan avautuu ikkuna, jossa sinua pyydetään maksamaan tietty summa rahaa käyttöjärjestelmän lukituksen avaamiseksi. Tässä tapauksessa sinun on parempi kirjautua sisään vikasietotilassa. Tietokone on käynnistettävä uudelleen, jos se oli päällä, ja jos se ei ollut, kytke se päälle, sitten, kun näyttö syttyy, alamme painaa F8-painiketta (joissakin emolevyissä F11-painiketta). Kun olet napsauttanut sitä, näet näytön, jossa valitaan, kuinka käyttöjärjestelmä käynnistetään; valitse kaikista tarjotuista turvatilasta. Yritämme sitten poistaa bannerin yllä ehdotetuilla tavoilla.

Menetelmä 4. Vikasietotila ei toimi.

Kuinka päästä eroon pornobannerista tässä tapauksessa? Tällaisissa tilanteissa ratkaisu voi olla Windowsin uudelleenasentaminen. Mutta jos et halua menettää kiintolevyille tallennettuja tietoja, voit irrottaa HD-aseman ja viedä sen ystävälle tai erikoispalveluun, jossa se tarkistetaan virusten varalta.

Menetelmä 5. Kätevä vanhemmille käyttöjärjestelmille, kuten XP.

Heti kun käyttöjärjestelmä käynnistyy, paina "Windows + U" -näppäimiä.
Napsauta näytön näppäimistöä ja napsauta sitten "Suorita".
Napsauta sitten "Ohje" - "Tietoja ohjelmasta".
Napsauta ikkunassa "Microsoftin Web-sivusto".
Kun osoitepalkki tulee näkyviin, sinun on kirjoitettava seuraava: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
Tallenna työpöydälle ilmestyvä tiedosto.
"Tiedosto" / "Avaa" / "Selaa".
Näytön vasemmalla puolella sinun on valittava "Työpöytä". Alareunassa on "Tiedostotyyppi" - "Kaikki tiedostot".
Etsimme ja käynnistämme lataamamme ohjelman.
Heti kun ohjelmaikkuna tulee näkyviin, valitse täydellinen tietokoneen tarkistus.

Windows 7:ssä kaikki on paljon yksinkertaisempaa - sinun on painettava Win + U ja napsauta sitten "Ohje asetusten asetuksissa" / "Tietosuojalausunto" -linkkiä. Sitten siirrytään suoraan kohtaan 5.

Elämme tällä hetkellä tietokoneaikaa. Nyt tietokone on jokaisessa kodissa ja toimistossa, eikä edes yhdessä. Tietokoneita käytetään koulutukseen ja viihteeseen. Ja jos sinulla on internet, voit maksaa sähköt ja tehdä pankkisiirron. Se on todella kätevää ja helpottaa elämäämme paljon. Ja kaikki olisi hyvin, jos rikokset kutsuttaisiin kyberrikollisuutta, pilaa tunnelmamme ja keventää lompakkoamme :-).

Katsotaanpa tarkemmin, mitä se on ja kuinka voimme torjua sitä.

Sähköiset maksujärjestelmät Webmoney, Qiwi, Yandex-rahat ja muut - me kaikki käytimme niitä ja arvostimme niiden ominaisuuksia. Jotkut niistä ovat turvallisempia ja linkitetty tiettyyn tietokoneeseen, kaksoistunnistukseen tekstiviestillä ja älypuhelimeen tai tablettiin asennettuun mobiilisovellukseen. Jotkut ovat vähemmän turvallisia ja tallentavat tallennetut salasanat suoraan selaimeen, josta voit halutessasi kopioida ne ja päästä tilillesi. Jotta näin ei tapahdu, sinun on suojattava tietokoneesi virustorjuntaohjelmilla.

Siksi, Tietokoneellesi tulee aina olla asennettuna virustentorjuntaohjelma, jossa on uusimmat päivitykset!

Useimmille nukkeille riittää ilmaisen Avast-virustorjuntaohjelman asentaminen. Ainakin jotain enemmän kuin ei mitään.

Katsotaanpa tilannetta tietokoneella ei virustorjuntaa ollenkaan. Mitä tämä tarkoittaa? Jopa Internetin käyttäminen kahdesta kolmeen tuntia asennuksen poistaneen tai pois käytöstä poistaneen virustorjuntaohjelman kanssa tarjoaa suuren todennäköisyyden "poimimaan" haittaohjelmia Internetistä. Mihin tarkoitukseen nämä ohjelmat on kirjoitettu? Ja tavoite on yksinkertainen: rikollinen, kun häntä uhkaa tästä rikosoikeudellinen vastuu, ei levitä viruksia, jos hänellä ei ole tästä merkittävää tuloa... Samoin virukset. Viime aikoina niitä on kirjoitettu tarkoituksena viedä rahasi. piilotettu tai ilmeinen tavoilla.

Troijalaiset

Piilotetulla menetelmällä Haittaohjelma, niin kutsuttu troijalainen, on asennettu tietokoneellesi. Se tunkeutuu tietokoneen haavoittuvuuden läpi, esimerkiksi kun palomuuri on poistettu käytöstä tai kun käytetään tiettyä sivustoryhmää. Useimmiten nämä sisältävät eroottista sisältöä sisältäviä sivustoja. Selkeällä menetelmällä ottaaksesi rahaa pois, siirrät itse rahaa tietokoneen lukituksen avaamisesta tavalla tai toisella rikollisten tilille. Lisäksi lukituksen avaaminen ei välttämättä tapahdu, koska rahan siirtämisen jälkeen rikolliset eivät yksinkertaisesti ole kiinnostuneita sinusta.

Päätin tehdä riskialtisen kokeilun). Päivitin virustentorjuntatietokantani ja menin ilmeisen epäilyttävälle sivustolle näyttämään sinulle, miltä se näyttää. Meitä tarjotaan välittömästi lataamaan tuntematon ajuritiedosto, vaikka verkkokameran mallia ei olisi määritetty.

Sivuston nimi näkyy kuvakaappauksessa, eikä sillä ole mitään semanttista merkitystä. Todennäköisesti tämä tehtiin tarkoituksella tämän sivuston yhdistämiseksi nimellä mahdollisimman moneen hakukonekyselyyn, jotta et pystyisi huomaamaan aiheiden välistä ristiriitaa. Lisäksi näytöllä näemme suuren joukon ihmisiä, jotka latasivat ja väittivät kiittäneen heitä.

Huijaussivustot

Hyvin usein näemme etsiessämme foorumisivujen jäljitelmiä, joilla on epäselvä nimi ja tarjous ladata tarvitsemamme tiedosto. Seuraavaksi tulee kysymys "käyttäjältä": He pyytävät lähettämään tekstiviestin tämän tiedoston lataamiseksi. He selittävät hänelle iloisesti, että tämä on suojaa boteilta, kaikki on tarkistettu, älä huoli

Tietenkin, kun lähetät tekstiviestin, joka osoittautuu maksetuksi, tililtäsi veloitetaan siisti summa hauraalla verukkeella tarjota viihde- tai tietopalveluja.

Älä myöskään koskaan asenna tietokoneellesi erilaisia työkalurivejä huolimatta tämän asennuksen kaikista eduista, joita erityisesti palkatut kokeneet kirjoittajat kuvailevat sinulle värikkäästi:

On parempi pidättäytyä vierailemasta sivustoilla, jos näemme tämän varoituksen:

Vaikka se on mahdollista - tämä on vain jälleenvakuutus Yandex-ohjelmoijilta. Tämä koskee myös erilaisia vahvistamattomista lähteistä peräisin olevia laajennuksia. Tämän varjolla kaikenlaisia viruksia piilotetaan usein.

Bannerit

Katsotaanpa, kuinka tietokone, johon on asennettu virustorjunta, mutta jossa ei ole uusimmat tietokannat ja palomuuri käytössä, saa tartunnan?

Useimmiten kokematon käyttäjä lataa haittaohjelmia tietokoneelleen tietämättään. Se voidaan naamioida miksi tahansa, esimerkiksi apuohjelmaksi tai ajuriksi, jolla on itsepurkautuva arkisto *.exe-laajennuksella, tai jopa, kuten pomoni kanssa, tärkeäksi kirjeeksi, oletettavasti välimiesoikeudelta. Tältä näyttää yksi mahdollisista ransomware-bannereista, jotka voivat näkyä työpöydälläsi:

Liikemiehillä on usein paljon ongelmia. Kun he ovat menettäneet mielensä, he lataavat heti liitteen sähköpostista ja avaavat sen. Lisäksi tässä tapauksessa tiedoston nimi oli ”Kirje”. Ja jopa kuvake oli kirjekuoren muodossa. Ihmisille, joilla on vähän koulutusta tietokonealalla, tämä valitettavasti riittää. Se on epätyypillinen tiedostopääte ja sen kuvake, joka varoittaa meitä, kokeneempia käyttäjiä.

Sen jälkeen työpöydälle ilmestyi banneri nimeltä Watnik 91

On epäselvää, ketä he aikoivat johtaa harhaan tällä tavalla, ilmeisesti tämä on kaikki, mihin heidän mielikuvituksensa kykeni.

Joten tälle bannerille oli painettu teksti, jonka mukaan kaikki tiedostosi tunnisteella DOC, PDF, XLS, JPEG ja mahdollisesti jotkut muutkin on salattu. Onnistuimme purkamaan niiden salauksen, mutta vasta kahden viikon kirjeenvaihdon ja salattujen tiedostojen näytteiden lähettämisen jälkeen erityissivustolle avustajien auttamiseksi.

Bannerin poistaminen AntiSMS:llä

Olen törmännyt ransomware-bannereihin ennenkin. Tätä varten minulla on käynnistyslevyke nimeltä Anti SMS, joka on erityisesti luotu torjumaan kiristysohjelmabannereita. Sen kanssa on erittäin helppoa työskennellä. Riittää, kun painat BIOS-näppäintä useita kertoja ensimmäisten 5 sekunnin aikana tietokoneen käynnistymisen jälkeen. Eri emolevyversioille nämä ovat eri näppäimiä, esimerkiksi Delete, F2, F11 ja muut, katso näytön kehotteet heti tietokoneen käynnistämisen jälkeen.

Kun käyttöjärjestelmän (käyttöjärjestelmän) riisuttu versio on ladattu tietokoneen RAM-muistiin, meidän on painettava vain yhtä painikekuvaketta näytön näytöllä ja odotettava ilmoitusta, että tietokone on puhdistettu. Sen tietokoneen automaattinen käynnistys, johon virus rekisteröi itsensä, tyhjennetään. Kun tietokone on käynnistetty uudelleen, näemme, että ransomware-banneri on kadonnut.

Käynnistyslevy tai flash

Mitä tehdä, jos tietokoneesi on saanut tartunnan, näytöllä on samanlainen banneri, joka estää pääsyn Internetiin ja tietokoneen toiminnan, eikä sinulla ole tällaista levyä? No, osoittautuit valmistautumattomaksi sellaiseen käänteeseen!?

Sitten voit käynnistää Linux Live Cd -levyltä, esimerkiksi Ubuntu tai Runtu, oletusarvoisesti tuella Internet-yhteydelle Ethernetin kautta. Tietäneet ymmärtävät

Ja sitten lataa apuohjelma Dr web CureIt flash-asemaan

Tai kirjaudu sisään ja suorita nämä toiminnot toiselta tietokoneelta. Tämän apuohjelman avulla voit puhdistaa tietokoneesi viruksista sen jälkeen, kun olet käynnistänyt Windowsin vikasietotilassa. Tätä varten sinun on kirjoitettava apuohjelma flash-asemaan, ja kun olet ladannut Windowsin vikasietotilassa, suorita tämä apuohjelma flash-asemasta.

Tämä apuohjelma on täysin ilmainen, ja sen mukana tulee tietokannan uusimmat versiot.

Toivon, että tämän artikkelin lukemisen jälkeen tietokoneesi on luotettavasti suojattu. Ja jos ransomware-banneri ilmestyy työpöydällesi, voit poistaa sen nopeasti ja itsenäisesti.

Tietokonevirukset kehittyvät vuosi vuodelta. Jotkut niistä toimivat rahan kiristämisen lähteenä ihmisiltä, kun taas toisten tarkoituksena on tuhota järjestelmä ja varastaa tietoja. Tietokoneessa on infektio, joka mainostaa Internet-resursseja ja häiritsee vain tietokoneen normaalia toimintaa. Suurin osa vähiten vaarallisista viruksista on esitetty bannereilla. Tämä on yleisin roskaposti, mutta se voi aiheuttaa paljon ongelmia. Kuinka poistaa banneri jossakin tapauksessa? Meidän on löydettävä vastaus tähän kysymykseen lisää. Lisäksi kannattaa tutkia kaikkia tapoja suojata käyttöjärjestelmää ja paikkoja, joista voit "poimia" banneriviruksen.

Vaara on lähellä

Selvitetään ensin, mitkä lähteet levittävät tietokoneen "tartuntaa". Loppujen lopuksi on aina helpompi estää PC-infektio kuin parantaa käyttöjärjestelmää.

Nykyään roskaposti, troijalaiset ja muut virukset voivat tunkeutua:

jakamalla kirjeitä sähköpostitse;
kun vierailet tietyillä verkkosivustoilla;
käytettäessä hakkeriohjelmia;
kun lataat tiedostoja;
asentamalla ohjelmistoja epäluotettavista lähteistä.

Tämä on yleisin luettelo käyttäjille mahdollisesti vaarallisista paikoista. Lisäksi viruksia levitetään nyt aktiivisesti torrentien kautta ja siksi on suositeltavaa käyttää tällaisia ohjelmistoja varoen.

Virusten tyypit

Kuinka poistaa banneri? Ennen kuin ryhtyy päättäväisiin toimiin, käyttäjän on selvitettävä, minkä infektion kanssa hän on tekemisissä. Toimien lisäalgoritmi riippuu tästä.

Käyttäjät valittavat seuraavan tyyppisistä bannereista:

pyynnöllä lähettää rahaa puhelimeen;
maksullisen tekstiviestin lähettämisen tarjoaminen;
tilin täydentämisen vaatiminen maksupäätteiden kautta;
vaatimalla rahan siirtoa sosiaalisten verkostojen kautta;
työpöydän täyttäminen mainoksilla;
avaussivuja ja uusia bannereita selaimissa.

Kaksi viimeistä vaihtoehtoa ovat vähiten vaarallisia viruksia. Niitä kutsutaan usein roskapostiksi. Niistä eroon pääseminen on helpompaa kuin miltä näyttää. Mutta katsotaanpa ensin vaikeampia tilanteita.

Vikasietotila - Kirjaudu sisään

Kuinka poistaa mainosbannerit, jotka estävät pääsyn käyttöjärjestelmään? Yleensä tällaiset ohjelmat vaativat rahaa Windowsiin kirjautumiseen. Mutta senkään jälkeen, kun varat on hyvitetty, lukituksen avaamista ei seuraa. Kun tietokone on käynnistetty uudelleen, käyttäjä näkee saman bannerin.

Voit päästä eroon tällaisesta infektiosta eri tavoilla. Esimerkiksi käyttämällä Windowsin vikasietotilaa. Käyttäjä tarvitsee:

Käynnistä tietokone uudelleen tai käynnistä se.
Paina latauksen aikana F8.
Valitse näkyviin tulevasta luettelosta rivi "Safe Mode...". Osio, jonka nimi on "komentorivi", vaaditaan.
Avaa Käynnistä ja kirjoita hakupalkkiin regedit.
Valitse sopiva palvelu ja paina "Enter".

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon.

Kuinka poistaa banneri? Näiden vaiheiden jälkeen käyttäjän on suoritettava tietojen perusteellinen tarkistus.

Tarkistetaan tietoja

Mitä se koskee? Kun olet seurannut aiemmin määritettyä polkua, sinun on nähtävä, että vastaavat ikkunat sisältävät seuraavat arvot:

Shell - siellä on kirjoitus "explorer.exe" ja vain se;
Userinit - tässä tekstin tulee olla "C:\Windows\system32\userinit.exe".

Tämä on polku:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Kaikki täältä löytynyt poistetaan. Kun tehtävä on valmis, käyttäjän on poistettava kaikki ymmärtämättömät toiminnot seuraavista osoitteista:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Mutta tämä ei tule riittämään. Poistaaksesi ransomware-bannerin, sinun on puhdistettava järjestelmä. Kuinka tehdä se?

Tietoja käyttöjärjestelmän puhdistamisesta vikasietotilassa

Menettelyssä ei ole mitään erityistä tai käsittämätöntä. Riittää, kun noudatat perusohjeita.

Avaa "regedit"-palvelu aiemmin kuvatun periaatteen mukaisesti.
Kirjoita cleanmgr-komento.
Valitse osio, johon käyttöjärjestelmä on asennettu.
Skannaa se.
Valitse kaikki ruudut paitsi "Varmuuskopiotiedostot...".
Napsauta "OK".

Ei jää muuta kuin odottaa. Muutaman minuutin kuluessa käyttäjä pääsee käyttöjärjestelmään. Mutta tämä ei ole syy iloon. Loppujen lopuksi virus poistettiin käytöstä kuvattujen toimien avulla. Nyt meidän on päästävä siitä eroon.

Poistetaan käytöstä poistettuja kiristysohjelmia

Kuinka poistaa banneri tietokoneeltasi? Nykyään voit käyttää muita ilmaisia apuohjelmia puhdistaaksesi käyttöjärjestelmän käytöstä poistetuista viruksista. Niitä on paljon. Ne toimivat virustentorjunnan periaatteella. Riittää, kun käynnistät ohjelman, skannaat ja poistat vaaralliset esineet. Jos mahdollista, voit käsitellä ohjelmistoa tai "korjata" sen automaattisesti.

Bannereina esitettyjen kiristysohjelmien poistamiseen on parempi käyttää seuraavia ohjelmia:

"AntiWinLockerCD";
AVZ-apuohjelma.

Tämä ohjelmisto on erittäin helppo oppia. Jopa lapsi voi käsitellä sitä. Nyt on selvää, kuinka ransomware-banneri poistetaan.

Kaspersky auttaa

Mutta tämä on vain yksi vaihtoehto tapahtumien kehitykselle. Nykyaikaiset käyttäjät voivat käyttää erilaisia menetelmiä tietokoneensa käsittelyyn.

Voit poistaa kiristysohjelmaviruksen käytöstä ja päästä eroon siitä Kasperskyn Deblocker-apuohjelman avulla. Tämä on ilmainen palvelu, joka poistaa nopeasti ja helposti erilaisia bannereita. Tärkeintä on, että käyttäjällä on pääsy Internet-selaimeen. Muuten, toiminnot voidaan suorittaa tietokoneelta, joka ei ole saastunut.

Toimintojen algoritmi rajoittuu seuraaviin vaiheisiin:

Avaa sivusto millä tahansa selaimella sms.kaspersky.ru.
Ilmoita asianmukaiseen kenttään kiristäjän puhelinnumero tai määritetty tili.
Syötä koodi, jota sinua pyydetään lähettämään.
Napsauta "Hae koodi..." -painiketta.
Kokeile kaikkia mahdollisia myönnettyjä koodeja.

Siinä kaikki. Hakemalla saatavilla olevia koodeja, käyttäjä voi päästä eroon ransomware-viruksesta.

Selainhyökkäys

Kuinka poistaa ponnahdusbanneri selaimesta? Aiemmin ehdotetut toiminta-algoritmit auttavat puhdistamaan tietokoneesi kiristysohjelmista. Mutta useimmiten ihmiset kohtaavat tavallista roskapostia. Se avaa mainoksia ja bannereita selaimissa, varastaa kansalaisten henkilötietoja ja lataa myös tietokoneen keskusprosessorin.

Näin ollen viruksesta on päästävä eroon. Mutta tämä voidaan tehdä eri tavoin. Seuraavaksi tarkastellaan yleisimpiä skenaarioita. Ehdotetut vinkit auttavat jopa aloittelevaa käyttäjää korjaamaan tilanteen nopeasti.

Ylimääräinen ohjelmisto pois!

Käyttäjän tulee:

Avaa "Käynnistä" - "Ohjauspaneeli".
Valitse "Poista ohjelmat...".
Tutki näytöllä näkyvää luetteloa.
Korosta kaikki epäilyttävät ja tarpeettomat komponentit. Esimerkiksi "Baidu" tai "Vulcan Casino".
Napsauta hiiren kakkospainikkeella ja napsauta "Poista" -painiketta avattavasta luettelosta.
Suorita ohjattu asennuksen poisto loppuun noudattamalla näytön ohjeita.

PC-tietokoneiden roskapostin torjunnan ensimmäinen vaihe on saatu päätökseen. Mitä seuraavaksi?

Prosessit ja virukset

Nyt kannattaa miettiä, mitä prosesseja käyttöjärjestelmässä on käynnissä. Jotkut niistä voivat olla haitallisia. Jos et poista niitä käytöstä, ei ole mitään järkeä pohtia mainosbannerien poistamista selaimesta. Toiminnot eivät johda lopputulokseen - tietokoneen ensimmäisen uudelleenkäynnistyksen jälkeen roskaposti palautetaan.

Kuinka poistaa banneri tietokoneeltasi? Onko ohjelmat poistettu? Sitten tarvitset:

Paina näppäimistön Ctrl + Alt + Del.
Valitse "Task Manager" -palvelu.
Siirry "Prosessit"-välilehteen.
Valitse kursorilla kaikki epäilyttävät ja epäselvät toiminnot.
Paina "Valmis..." -painiketta.

Näyttöön tulee varoitus. Siinä todetaan, että prosessien lopettaminen voi häiritä käyttöjärjestelmän toimintaa. Hyväksyttyään ehdon käyttäjän on lopetettava epäilyttävät tapahtumat.

Tyhjennä välimuisti ja historia

Kuinka poistaa bannerit selaimesta? Tämä ei ole yksinkertaisin, mutta melko helppokäyttöinen toimenpide. Joskus riittää yksinkertaisesti tyhjentää historia Internet-selaimessa sekä tyhjentää välimuisti.

Kaikissa selaimissa luettelo vierailluista sivuista löytyy asetuksista. Esimerkiksi seuraavat toimet ovat mahdollisia:

Avaa asetukset Chromessa tai Yandexissa.
Siirry "Historia" -lohkoon.
Napsauta "Tyhjennä historia" -painiketta.
Valitse valintaruudut "Kaikki historia" ja "Tyhjennä välimuisti".

Joissakin Internet-selaimien versioissa sinun on etsittävä "Lisäasetukset" -osaa asetusten antamisen jälkeen. Löydät siitä sekä historian että välimuistitiedot.

Ja mainittujen osioiden puhdistaminen tarkoittaa kansion etsimistä ja poistamista osoitteessa:

C:\Documents and Settings\käyttäjänimi\Application Data\Opera.

Mozilla on toinen suosittu Internet-selain. Siinä parametrit nollataan seuraavasti:

Siirry selaimen asetuksiin.
Avaa Ohje-valikko.
Napsauta riviä "Ratkaisutietoja...".
Napsauta tekstiä "Palauta...".

Nyt jäljellä on vain käynnistää selain uudelleen. Kaikki toimii? Sitten sinun ei tarvitse tehdä mitään muuta. Mutta entä jos mainoksia ja bannereita ilmestyy edelleen?

Pikakuvakkeen ominaisuudet

Joidenkin käyttäjien mielestä on esimerkiksi hyödyllistä tarkistaa verkkoselaimien pikakuvakeominaisuudet. Bannerimainoksen poistamiseksi henkilön on:

Valitse käyttämäsi selaimen pikakuvake.
Napsauta sitä hiiren kakkospainikkeella.
Siirry kohtaan "Ominaisuudet".
Katso "Yleiset"-lohkossa "Objekti"-riviä.
Poista kaikki, mikä on kirjoitettu suoritettavan tiedoston (.exe-muoto) jälkeen selaimen nimellä.
Tallenna muutokset.

Nämä vaiheet sopivat kaikille Internet-käyttöohjelmille. Niiden jälkeen on parempi käynnistää tietokone uudelleen.

Isäntä ja kristallinkirkas

Kuinka poistaa banneri tietokoneeltasi? Jotkut virukset on rekisteröity isäntätiedostoon. Siksi sinun on työskenneltävä hänen kanssaan vähän.

Käyttäjän tulee mennä osoitteeseen:

C:\Windows\System32\drivers\etc.

Avaa "Host"-tiedosto Notepadilla.
Poista kaikki asiakirjaan kirjoitettu.
Tallenna muokattu tiedosto.
Poista kaikki päällekkäiset "isäntä", jos sellaisia on.

Joissain tapauksissa on helpompi valita mainittu dokumentti ja poistaa se pitämällä Shift-painiketta painettuna.

Virukset tulevat apuun

Haluatko selvittää, kuinka banneri poistetaan Yandexista? Jos yllä olevat vinkit eivät tuota tuloksia, sinun on siirryttävä eteenpäin. Voit esimerkiksi tarkistaa tietokoneesi virusten varalta.

Tätä varten sinun tarvitsee vain käynnistää virustorjuntajärjestelmä ja napsauttaa "Deep scan" -painiketta. Kaikki ohjelmistot käyvät - Kaspersky, NOD32 ja Avast. Kun toimenpide on suoritettu, henkilön on käsiteltävä kaikkia mahdollisesti vaarallisia esineitä. Ja mikä ei vastannut hoitoon, on poistettava.

Tällaiset toiminnot aktivoidaan vakioviruksentorjuntaohjaimilla. Siksi käyttäjältä ei vaadita taitoja tai tietoja.

Tietokoneen rekisterin on oltava puhdas

Mietimme kuinka banneri poistetaan. Mitkä muut vinkit auttavat sinua selviytymään tästä tehtävästä?

Voit puhdistaa tietokoneesi rekisterin automaattisesti seuraavasti:

Käynnistä CCleaner.
Napsauta "Rekisteröidy" -osiota.
Napsauta "Analysis"-painiketta.
Valitse "Puhdistus" -vaihtoehto. Se tulee näkyviin järjestelmän skannauksen jälkeen.

Kun toimenpide on suoritettu, rekisteri on puhdas. Voit käynnistää käyttöjärjestelmän uudelleen ja katsoa, onko tulosta. On tärkeää, että kaikki selaimet on suljettu, kun työskentelet apuohjelman kanssa.

Äärimmäiset toimenpiteet

Mutta siinä ei vielä kaikki. Jotkut ihmiset ovat valmiita äärimmäisiin toimenpiteisiin vastatakseen ponnahdusbannerin poistamiseen selaimessa. Yleensä se ei tule heille, mutta sellaisia tilanteita ei myöskään tarvitse sulkea pois. Mitä se koskee?

Päästäksesi eroon kaikista selaimen viruksista, voit yksinkertaisesti poistaa Internet-selaimen kaikilla käyttäjätiedoilla. Asentamalla ohjelmiston uudelleen (jota ei pidä sekoittaa päivittämiseen) voit jatkaa työskentelyä toimivan ohjelmiston kanssa. Ennen asennuksen poistamista on parempi tehdä kopiot kirjanmerkeistäsi, jos sellaisia on.

Joissakin tapauksissa käyttöjärjestelmän toiminta palautetaan käyttöjärjestelmän palautuksen jälkeen. Toiminto suoritetaan tavallisilla Windows-työkaluilla. Löydät haluamasi osion "Käynnistä" -kansiosta "Kaikki ohjelmat" - "Lisävarusteet" - "Järjestelmätyökalut". Seuraamalla näytön ohjeita, "uhri" palauttaa järjestelmän muutamassa minuutissa.

Viimeinen tapa päästä eroon bannereista ja viruksista yleensä on asentaa Windows kokonaan uudelleen. Se vaatii asennuslevyn. Toiminnan aikana on suositeltavaa alustaa "koneen" kiintolevy kokonaan. Tämä on ainoa tapa päästä 100% eroon kaikista olemassa olevista tietokoneinfektioista.

Katsotaanpa tarkemmin, mitä se on ja kuinka voimme torjua sitä.

Siksi, Tietokoneellesi tulee aina olla asennettuna virustentorjuntaohjelma, jossa on uusimmat päivitykset!

Useimmille nukkeille riittää ilmaisen Avast-virustorjuntaohjelman asentaminen. Ainakin jotain enemmän kuin ei mitään.

Troijalaiset

Huijaussivustot

Tietenkin, kun lähetät tekstiviestin, joka osoittautuu maksetuksi, tililtäsi veloitetaan siisti summa hauraalla verukkeella tarjota viihde- tai tietopalveluja.

On parempi pidättäytyä vierailemasta sivustoilla, jos näemme tämän varoituksen:

Bannerit

Katsotaanpa, kuinka tietokone, johon on asennettu virustorjunta, mutta jossa ei ole uusimmat tietokannat ja palomuuri käytössä, saa tartunnan?

Sen jälkeen työpöydälle ilmestyi banneri nimeltä Watnik 91

On epäselvää, ketä he aikoivat johtaa harhaan tällä tavalla, ilmeisesti tämä on kaikki, mihin heidän mielikuvituksensa kykeni.

Bannerin poistaminen AntiSMS:llä

Käynnistyslevy tai flash

Sitten voit käynnistää Linux Live Cd -levyltä, esimerkiksi Ubuntu tai Runtu, oletusarvoisesti tuella Internet-yhteydelle Ethernetin kautta. Tietäneet ymmärtävät

Ja sitten lataa apuohjelma Dr web CureIt flash-asemaan

Tämä apuohjelma on täysin ilmainen, ja sen mukana tulee tietokannan uusimmat versiot.

Toivon, että tämän artikkelin lukemisen jälkeen tietokoneesi on luotettavasti suojattu. Ja jos ransomware-banneri ilmestyy työpöydällesi, voit poistaa sen nopeasti ja itsenäisesti.

Pyydän mahdollista osallistumista ongelmaani. Kysymykseni on tämä: Kuinka poistaa banneri: "Lähetä tekstiviesti", käyttöjärjestelmä Windows 7. Muuten, myös toinen järjestelmä Windows XP -tietokoneellani oli bannerin tukossa kuukausi sitten, olen niin onneton käyttäjä. En pääse vikasietotilaan, mutta onnistuin siirtymään Computer Troubleshooting -ohjelmaan ja suorittamaan sieltä System Restore -ohjelman ja virhe ilmestyi - Tämän tietokoneen järjestelmälevyllä ei ole palautuspisteitä.

Avauskoodia ei löytynyt Dr.Web-sivustolta eikä ESETistä. Äskettäin onnistuin poistamaan tällaisen bannerin ystävältä ESET NOD32 LiveCD System Recovery Disk -levyn avulla, mutta minun tapauksessani se ei auta. Kokeilin myös Dr.Web LiveCD:tä. Laitoin kelloa BIOSissa vuodella eteenpäin, banneri ei hävinnyt. Useilla Internetin foorumeilla on suositeltavaa korjata UserInit- ja Shell-parametrit rekisteriavaimessa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Mutta miten pääsen sinne? Käytätkö LiveCD:tä? Lähes kaikki LiveCD-levyt eivät muodosta yhteyttä käyttöjärjestelmään ja toiminnot, kuten rekisterin muokkaus, käynnistysobjektien katselu sekä tapahtumalokit eivät ole saatavilla sellaiselta levyltä tai olen väärässä.

Yleisesti ottaen Internetissä on tietoa bannerin poistamisesta, mutta enimmäkseen se ei ole täydellinen ja minusta näyttää siltä, että monet ihmiset kopioivat nämä tiedot jonnekin ja julkaisevat sen verkkosivuillaan, jotta se on vain siellä, mutta kysy miten se kaikki toimii, he kohauttavat olkapäitään. Mielestäni tämä ei ole sinun tapauksesi, mutta yleensä haluan todella löytää ja poistaa viruksen itse, olen kyllästynyt järjestelmän uudelleenasentamiseen. Ja viimeinen kysymys - onko ransomware-bannerien poistomenetelmissä perustavanlaatuista eroa Windows XP- ja Windows 7 -käyttöjärjestelmissä. Voitko auttaa?

Kuinka poistaa banneri

On olemassa useita tapoja auttaa sinua pääsemään eroon viruksesta, sitä kutsutaan myös nimellä Trojan.Winlock, mutta jos olet aloittelija, kaikki nämä menetelmät vaativat sinulta kärsivällisyyttä, kestävyyttä ja ymmärrystä, että olet kohdannut vakavan vihollisen , jos et pelkää, aloitetaan.

Artikkeli osoittautui pitkäksi, mutta kaikki sanottu toimii itse asiassa sekä Windows 7- että Windows XP -käyttöjärjestelmissä, jos jossain on eroa, huomautan tämän kohdan ehdottomasti. Tärkeintä on tietää poista banneri ja saada käyttöjärjestelmä takaisin nopeasti, se ei aina toimi, mutta on turhaa laittaa rahaa kiristäjän tilille, et saa mitään avauskoodia takaisin, joten on kannustin taistella järjestelmäsi puolesta.
Ystävät, tässä artikkelissa työskentelemme Windows 7 -palautusympäristön tai tarkemmin sanottuna palautusympäristön komentorivin kanssa. Annan sinulle tarvittavat komennot, mutta jos sinun on vaikea muistaa niitä, voit. Tämä tekee työstäsi paljon helpompaa.

Aloitetaan yksinkertaisimmasta ja lopetetaan monimutkaiseen. Bannerin poistaminen vikasietotilassa. Jos Internet-surffailusi päättyi epäonnistumaan ja asensit vahingossa haitallisen koodin, sinun on aloitettava yksinkertaisimmasta - yritä siirtyä vikasietotilaan (valitettavasti useimmissa tapauksissa et onnistu, mutta se kannattaa yrittää), mutta Pääset varmasti sisään(enemmän mahdollisuuksia), sinun on tehtävä sama asia molemmissa tiloissa, katsotaanpa molempia vaihtoehtoja.

Tietokoneen lataamisen alkuvaiheessa paina F-8 ja valitse sitten, jos onnistut kirjautumaan sisään, voit sanoa, että olet erittäin onnekas ja tehtävä on sinulle yksinkertaistettu. Ensimmäinen asia, joka sinun on yritettävä, on palauttaa jonkin aikaa palautuspisteiden avulla. Niille, jotka eivät osaa käyttää järjestelmän palautusta, lue yksityiskohtaisesti täältä -. Jos järjestelmän palautus ei toimi, kokeile jotain muuta.

Kirjoita Suorita-riville msconfig,

Kansiossa ei myöskään pitäisi olla mitään. Vai sijaitseeko se osoitteessa

C:\Käyttäjät\Käyttäjänimi\AppData\Roaming\Microsoft\Windows\Käynnistysvalikko\Ohjelmat\Käynnistys.

Tärkeä muistiinpano: Ystävät, tässä artikkelissa joudut käsittelemään pääasiassa kansioita, joissa on Hidden-attribuutti (esimerkiksi AppData jne.), joten heti kun pääset Turva tila tai Vikasietotila komentorivin tuella, kytke se heti päälle järjestelmässä näyttää piilotetut tiedostot ja kansiot, muuten et yksinkertaisesti näe tarvittavia kansioita, joihin virus on piilotettu. Se on erittäin helppo tehdä.

Windows XP
Avaa mikä tahansa kansio ja napsauta "Työkalut"-valikkoa, valitse "Kansion asetukset" ja mene sitten "Näytä"-välilehteen. Valitse sitten alareunasta ""-kohta ja napsauta OK

Windows 7
Aloita -> Ohjauspaneeli->Näytä: Luokka -Pienet kuvakkeet ->Kansion asetukset ->Näytä. Valitse alareunasta ruutu " Näytä piilotetut tiedostot ja kansiot».

Palataanpa siis artikkeliin. Katsotaanpa kansiota, siinä ei pitäisi olla mitään.

Varmista, että aseman juuressa (C:) ei ole tuntemattomia tai epäilyttäviä kansioita ja tiedostoja, esimerkiksi niin käsittämättömällä nimellä OYSQFGVXZ.exe, jos sellaisia on, sinun on poistettava ne.

Nyt huomio: Windows XP:ssä poistamme epäilyttävät tiedostot (esimerkki näkyy yllä kuvakaappauksessa), joissa on outoja nimiä ja

.exe-tunnisteella kansioista

C:\
C:\Documents and Settings\Username\Application Data
C:\Dokumentit ja asetukset\Käyttäjänimi\Paikalliset asetukset
C:\Dokumentit ja asetukset\Käyttäjänimi\Paikalliset asetukset\Temp- poista kaikki täältä, tämä on väliaikaistiedostojen kansio.

Windows 7:n suojaustaso on hyvä, eikä se useimmissa tapauksissa salli haittaohjelmien tehdä muutoksia rekisteriin, ja suurin osa viruksista pyrkii myös pääsemään väliaikaisten tiedostojen hakemistoon:
C:\KÄYTTÄJÄT\käyttäjänimi\AppData\Local\Temp, täältä voit suorittaa suoritettavan tiedosto.exe-tiedoston. Esimerkiksi tuon saastuneen tietokoneen, kuvakaappauksessa näemme virustiedoston 24kkk290347.exe ja toisen järjestelmän luoman tiedostoryhmän lähes samaan aikaan viruksen kanssa; kaikki on poistettava.

Niissä ei pitäisi olla mitään epäilyttävää; jos on, poistamme ne.

Ja muista myös:

Useimmissa tapauksissa yllä olevat vaiheet poistavat bannerin ja antavat järjestelmän käynnistyä normaalisti. Normaalin käynnistyksen jälkeen skannaa koko tietokoneesi ilmaisella virustorjuntaohjelmistolla, jossa on uusimmat päivitykset - Dr.Web CureIt, lataa se Dr.Web-sivustolta.

Huomautus: Normaalisti käynnistyneen järjestelmän voi välittömästi tartuttaa viruksella siirtymällä verkkoon, koska selain avaa kaikki äskettäin vierailemiesi sivustojen sivut, joiden joukossa on luonnollisesti virussivusto ja virustiedosto voi myös olla olemassa. selaimen väliaikaisissa kansioissa. Löydämme ja joita käytit äskettäin osoitteessa: C:\Käyttäjät\Käyttäjänimi\AppData\Roaming\Selainnimi, (esimerkiksi Opera tai Mozilla) ja vielä yhdessä paikassa C:\Käyttäjät\Käyttäjänimi\AppData\Local\Selainnimi, jossa (C:) on osio, jossa on asennettu käyttöjärjestelmä. Tietenkin tämän toiminnon jälkeen kaikki kirjanmerkkisi katoavat, mutta tartunnan uudelleen saamisen riski pienenee huomattavasti.

Vikasietotila komentorivin tuella.

Jos bannerisi on edelleen elossa kaiken tämän jälkeen, älä anna periksi ja lue eteenpäin. Tai ainakin mene artikkelin keskelle ja lue täydelliset tiedot rekisteriasetusten korjaamisesta bannerilunnasohjelmatartunnan varalta.

Mitä minun pitäisi tehdä, jos en pääse vikasietotilaan? Kokeile Vikasietotila komentorivin tuella, siellä teemme saman, mutta eroa on Windows XP- ja Windows 7 -komennoissa.

Käytä järjestelmän palautusta.
Kirjoita Windows 7:ssä rstrui.exe ja paina Enter - pääsemme Järjestelmän palautus -ikkunaan.

Tai yritä kirjoittaa komento: explorer - latautuu jotain kuten työpöytä, jossa voit avata tietokoneeni ja tehdä kaiken samalla tavalla kuin vikasietotilassa - tarkista tietokoneesi virusten varalta, katso käynnistyskansiota ja aseman juurta (C :), sekä hakemiston väliaikaiset tiedostot: muokkaa rekisteriä tarpeen mukaan ja niin edelleen.

Pääset Windows XP -järjestelmän palauttamiseen kirjoittamalla komentoriville - %systemroot%\system32\restore\rstrui.exe,

Päästäksemme Windows XP:hen Resurssienhallinnassa ja Oma tietokone -ikkunassa, kuten seitsemän, kirjoitamme komennon explorer.

tähän sinun on ensin kirjoitettava komento explorer ja sinut viedään suoraan työpöydälle. Monet ihmiset eivät voi vaihtaa oletusarvoista venäläistä näppäimistöasettelua englanniksi komentorivillä käyttämällä alt-shift-yhdistelmää ja kokeile sitten shift-alt toisinpäin.

Siirry jo täällä Käynnistä-valikkoon ja sitten Suorita.

valitse sitten Käynnistys - poista kaikki siitä, tee sitten kaikki mitä teit aseman juuressa (C:), poista virus väliaikaistiedostojen hakemistosta: C:\KÄYTTÄJÄT\käyttäjänimi\AppData\Local\Temp, muokkaa rekisteriä tarpeen mukaan ( kaikki on kuvattu yllä yksityiskohtineen).

Järjestelmän palauttaminen. Asiat ovat meille hieman erilaiset, jos et pääse vikasietotilaan ja vikasietotilaan komentorivin tuella. Tarkoittaako tämä, että sinä ja minä emme voi käyttää järjestelmän palauttamista? Ei, tämä ei tarkoita, että voit palauttaa palautuspisteitä, vaikka käyttöjärjestelmäsi ei käynnistyisi missään tilassa. Windows 7:ssä sinun on käytettävä palautusympäristöä; tietokoneen käynnistyksen alussa paina F-8 ja valitse valikosta Tietokoneen vianmääritys,

Valitse Palautusasetukset-ikkunassa uudelleen Järjestelmän palauttaminen.

Nyt kiinnitä huomiota, jos painat F-8-valikkoa Ongelmien karttoittaminen ei ole saatavilla, se tarkoittaa, että Windows 7 -palautusympäristön sisältävät tiedostot ovat vahingoittuneet.

Onko mahdollista tulla toimeen ilman Live CD:tä? Periaatteessa kyllä, lue artikkeli loppuun.

Mietitään nyt, mitä teemme, jos emme voi käynnistää Järjestelmän palauttamista millään tavalla tai se on kokonaan poistettu käytöstä. Katsotaan ensin, kuinka banneri poistetaan lukituksen avauskoodilla, jonka ystävällisesti tarjoavat virustorjuntaohjelmistoja kehittävät yritykset - Dr.Web sekä ESET NOD32 ja Kaspersky Lab, tässä tapauksessa tarvitset apua ystävät. On välttämätöntä, että yksi heistä menee avauspalveluun, esimerkiksi Dr.Web

https://www.drweb.com/xperf/unlocker/

http://www.esetnod32.ru/.support/winlock/

sekä Kaspersky Lab

http://sms.kaspersky.ru/ ja kirjoitit tähän kenttään puhelinnumeron, johon sinun on siirrettävä rahaa tietokoneen lukituksen avaamiseksi, ja napsautettiin painiketta - Etsi koodeja. Jos löydät avauskoodin, kirjoita se banneri-ikkunaan ja napsauta Aktivointi tai mitä tahansa siinä lukee, bannerin pitäisi kadota.

Toinen yksinkertainen tapa poistaa banneri on käyttää palautuslevyä tai kuten niitä kutsutaan myös pelastuksiksi kohteesta ja. Koko prosessi lataamisesta, kuvan polttamisesta tyhjälle CD-levylle ja tietokoneesi virusten varalta tarkastamisesta on kuvattu yksityiskohtaisesti artikkeleissamme, voit seurata linkkejä, emme käsittele tätä. Muuten, virustorjuntayritysten tiedoista olevat pelastuslevyt eivät ole ollenkaan huonoja, niitä voidaan käyttää LiveCD-levyjen tavoin - suorittaa erilaisia tiedostotoimintoja, esimerkiksi kopioida henkilökohtaisia tietoja tartunnan saaneesta järjestelmästä tai ajaa parantavaa apuohjelmaa Dr.Webistä. - Dr.Web CureIt - muistitikulta. Ja ESET NOD32 -pelastuslevyssä on ihmeellinen asia, joka on auttanut minua useammin kuin kerran - Userinit_fix, joka korjaa tärkeät rekisteriasetukset bannerilla saastuneessa tietokoneessa - Userinit, haarat HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon .

Kuinka korjata tämä kaikki manuaalisesti, lue.
No, ystäväni, jos joku muu lukee artikkelia edelleen, olen erittäin iloinen puolestasi, nyt hauskuus alkaa, jos onnistut oppimaan ja erityisesti soveltamaan tätä tietoa käytännössä, monet tavalliset ihmiset, jotka vapautat ransomware-banneri pitää sinua todellisena hakkerina.

Älkäämme pettäkö itseämme, henkilökohtaisesti kaikki edellä kuvattu auttoi minua tasan puolessa tapauksista, joissa tietokoneeni esti estävä virus - Trojan.Winlock. Toinen puoli vaatii asian huolellisempaa pohdintaa, minkä me teemme.
Itse asiassa estämällä käyttöjärjestelmäsi, se on edelleen Windows 7 tai Windows XP, virus tekee muutokset rekisteriin sekä väliaikaisia tiedostoja sisältäviin Temp-kansioihin ja C:\Windows->system32-kansioon. Meidän on korjattava nämä muutokset. Älä unohda Käynnistä->Kaikki ohjelmat->Käynnistys-kansiota. Nyt tästä kaikesta yksityiskohtaisesti.

Varaa aikaa, ystävät, ensin kuvailen missä tarkalleen mikä korjattava sijaitsee, ja sitten näytän kuinka ja millä työkaluilla.

Windows 7:ssä ja Windows XP:ssä ransomware-banneri vaikuttaa samoihin UserInit- ja Shell-parametreihin haaran rekisterissä

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Ihannetapauksessa niiden pitäisi olla seuraavat:
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Tarkista kaikki kirjaimella, joskus törmäät käyttäjätunnuksen sijaan, esimerkiksi usernit tai userlnlt.
Sinun on myös tarkistettava rekisteriavaimen AppInit_DLLs-parametri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, jos löydät sieltä jotain, esimerkiksi C:\WINDOWS\SISTEM32\uvf.dll, kaikki tämä on poistettava.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, niissä ei pitäisi olla mitään epäilyttävää.

Ja muista myös:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (täytyy olla tyhjä) ja yleensäkään tässä ei pitäisi olla mitään tarpeetonta. ParseAutoexec on oltava yhtä suuri kuin 1 .

Sinun on myös poistettava KAIKKI väliaikaisista kansioista (tästä aiheesta on myös artikkeli), mutta Windows 7:ssä ja Windows XP:ssä ne sijaitsevat hieman eri tavalla:

Windows 7:
C:\Käyttäjät\Käyttäjänimi\AppData\Local\Temp. Varsinkin virukset asettuvat tänne mielellään.
C:\Windows\Temp
C:\Windows\
Windows XP:
Lähde:\Dokumentit ja asetukset\Käyttäjäprofiili\Paikalliset asetukset\Temp
Lähde:\Documents and Settings\User Profile\Local Settings\Temporary Internet Files.
C:\Windows\Temp
C:\Windows\Prefetch
Ei ole tarpeetonta katsoa molemmissa järjestelmissä kansiota C:\Windows->system32, kaikki tiedostot, jotka päättyvät .exe- ja dll-tiedostoihin ja joiden päivämäärä on banneri tartuttama tietokoneesi. Nämä tiedostot on poistettava.

Katso nyt, kuinka aloittelija ja sitten kokenut käyttäjä tekevät kaiken tämän. Aloitetaan Windows 7:stä ja siirrytään sitten XP:hen.

Kuinka poistaa banneri Windows 7:ssä, jos järjestelmän palautus oli poistettu käytöstä?

Kuvitellaanpa pahin skenaario. Kiristysohjelmabanneri estää kirjautumisen Windows 7:ään. Järjestelmän palautus on poistettu käytöstä. Helpoin tapa on päästä Windows 7 -järjestelmään käyttämällä yksinkertaista palautuslevyä (voit tehdä sen suoraan Windows 7 -käyttöjärjestelmässä - kuvattu yksityiskohtaisesti artikkelissamme), voit myös käyttää yksinkertaista Windows 7 -asennuslevyä tai mitä tahansa yksinkertaista LiveCD-levyä. . Käynnistä palautusympäristö, valitse Järjestelmän palauttaminen ja valitse sitten komentorivi

ja kirjoita siihen -notepad, siirry Muistioon, sitten Tiedosto ja Avaa.

Siirrymme todelliseen Exploreriin, napsauta Oma tietokone.

Siirrymme kansioon C:\Windows\System32\Config, tässä ilmoitamme tiedostotyypin - Kaikki tiedostot ja näemme rekisteritiedostomme, näemme myös RegBack-kansion,

siinä 10 päivän välein Task Scheduler tekee varmuuskopion rekisteriavaimista - vaikka järjestelmän palauttaminen olisi poistettu käytöstä. Tässä voit poistaa OHJELMISTON tiedoston C:\Windows\System32\Config-kansiosta, joka vastaa HKEY_LOCAL_MACHINE\SOFTWARE-rekisteripesästä; useimmiten virus tekee muutokset täällä.

Ja sen tilalle kopioi ja liitä tiedosto, jolla on sama nimi SOFTWARE RegBack-kansion varmuuskopiosta.

Useimmissa tapauksissa tämä riittää, mutta voit halutessasi korvata kaikki viisi rekisterirakennetta Config-kansion RegBack-kansiosta: SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM.

Seuraavaksi teemme kaikki kuten yllä kirjoitettu - poista tiedostot väliaikaisista väliaikaisista kansioista, etsi C:\Windows->system32-kansiosta tiedostot, joiden tunniste on .exe ja dll ja joiden päivämäärä on tartuntapäivä, ja tietysti katsomme. Käynnistys-kansion sisällöstä.

Windows 7:ssä se sijaitsee:

C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Windows XP:

C:\Documents and Settings\All Users\Main Menu\Programs\Startup.

Kuinka kokeneet käyttäjät tekevät saman, luuletko heidän käyttävän yksinkertaista LiveCD-levyä tai Windows 7 -palautuslevyä? Kaukana ystävistä, he käyttävät erittäin ammattimaista työkalua - Microsoft Diagnostic and Recovery Toolset (DaRT) -versio: 6.5 Windows 7:lle- Tämä on ammattimainen kokoonpano levyllä sijaitsevista apuohjelmista, joita järjestelmänvalvojat tarvitsevat tärkeiden käyttöjärjestelmän parametrien nopeaan palauttamiseen. Jos olet kiinnostunut tästä työkalusta, lue artikkelimme.

Muuten, se voi yhdistää täydellisesti Windows 7 -käyttöjärjestelmääsi. Käynnistämällä tietokoneesi Microsoftin palautuslevyltä (DaRT), voit muokata rekisteriä, määrittää salasanoja uudelleen, poistaa ja kopioida tiedostoja, käyttää järjestelmän palautusta ja paljon muuta. Epäilemättä jokaisessa LiveCD:ssä ei ole tällaisia toimintoja.
Käynnistämme tietokoneemme tältä, kuten sitä myös kutsutaan, Microsoft Recovery Disk (DaRT) -levyltä. Kieltäydymme alustamasta verkkoyhteyttä taustalla, jos emme tarvitse Internetiä.

Määritä asemakirjaimet samalla tavalla kuin kohdejärjestelmässä - sanomme Kyllä, on mukavampaa työskennellä tällä tavalla.

Venäläinen asettelu ja sen jälkeen. Aivan alareunassa näemme mitä tarvitsemme - Microsoft Diagnostic and Recovery Toolset. rekisterihaarassa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs - sen pitäisi olla tyhjä.

Sinä ja minä voimme myös käyttää käynnistystä tietokoneen hallintatyökalun avulla.

Explorer-työkalu - ei kommentteja, täällä voimme suorittaa mitä tahansa toimintoja tiedostoillamme: kopioida, poistaa, suorittaa virustorjuntaohjelmiston muistitikulta ja niin edelleen.

Meidän tapauksessamme meidän on tyhjennettävä kaikki väliaikaiset Temp-kansiot; tiedät jo artikkelin keskeltä, kuinka monta niitä on ja missä ne ovat Windows 7:ssä.
Mutta huomio! Koska Microsoft Diagnostic and Recovery Toolset on täysin yhdistetty käyttöjärjestelmääsi, et voi poistaa esimerkiksi rekisteritiedostoja -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, koska ne ovat käynnissä, ja tee muutoksia. .

Bannerin poistaminen Windows XP:ssä

Jälleen kyse on työkalusta, ehdotan ERD Commander 5.0:n käyttöä (linkki yllä olevaan artikkeliin), kuten sanoin artikkelin alussa, se on erityisesti suunniteltu ratkaisemaan samanlaisia ongelmia Windows XP:ssä. ERD Commander 5.0:n avulla voit muodostaa suoran yhteyden käyttöjärjestelmään ja tehdä kaiken, mitä teimme Microsoftin diagnostiikka- ja palautustyökalusarjalla Windows 7:ssä.
Käynnistämme tietokoneemme palautuslevyltä. Valitsemme ensimmäisen vaihtoehdon - yhteyden muodostaminen tartunnan saaneeseen käyttöjärjestelmään.

Valitse rekisteri.

Tarkastelemme UserInit- ja Shell-parametreja HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon-haarassa. Kuten edellä sanoin, niillä pitäisi olla tämä merkitys.
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Katso myös HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs - sen pitäisi olla tyhjä.

Siirry seuraavaksi Exploreriin ja poista kaikki väliaikaisista Temp-kansioista.
Kuinka muuten voit poistaa bannerin Windows XP:ssä ERD Commanderin avulla (muuten, tätä menetelmää voidaan soveltaa kaikkiin Live CD-levyihin). Voit yrittää tehdä tämän jopa ilman yhteyttä käyttöjärjestelmään. Lataa ERD Commander ja työskentele ilman yhteyttä Windows XP:hen,

tässä tilassa sinä ja minä voimme poistaa ja korvata rekisteritiedostoja, koska ne eivät ole mukana työhön. Valitse Explorer.

Windows XP -käyttöjärjestelmän rekisteritiedostot sijaitsevat C:\Windows\System32\Config-kansiossa. Ja Windows XP:n asennuksen aikana luotujen rekisteritiedostojen varmuuskopiot sijaitsevat korjauskansiossa, joka sijaitsee osoitteessa C:\Windows\repair.

Teemme samoin, kopioi OHJELMISTO-tiedosto ensin,

ja sitten voit tehdä loput rekisteritiedostot - SAM, SECURITY, DEFAULT, SYSTEM vuorotellen korjauskansiosta ja korvata ne samoilla tiedostoilla C:\Windows\System32\Config-kansiossa. Korvaa tiedosto? Olemme samaa mieltä - Kyllä.

Haluan sanoa, että useimmissa tapauksissa riittää yhden OHJELMISTON vaihtaminen. Kun vaihdat rekisteritiedostot korjauskansiosta, on hyvä mahdollisuus käynnistää järjestelmä, mutta useimmat Windows XP:n asennuksen jälkeen tehdyt muutokset menetetään. Mieti, sopiiko tämä menetelmä sinulle. Älä unohda poistaa kaikkea tuntematonta käynnistyksestä. Periaatteessa sinun ei pitäisi poistaa MSN Messenger -asiakasta, jos tarvitset sitä.

Ja viimeinen tapa tänään päästä eroon kiristyshaittaohjelmabannerista käyttämällä ERD Commander -levyä tai mitä tahansa live-CD:tä

Jos järjestelmän palauttaminen oli käytössä Windows XP:ssä, mutta et voi ottaa sitä käyttöön, voit kokeilla tätä. Siirry C:\Windows\System32\Config-kansioon, joka sisältää rekisteritiedostot.

Avaa koko tiedoston nimi liukusäätimellä ja poista SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM. Muuten, ennen kuin poistat ne, voit kopioida ne jonnekin varmuuden vuoksi, et koskaan tiedä. Haluat ehkä toistaa sen.

Seuraavaksi siirrymme kansioon Järjestelmän äänenvoimakkuustiedot\_palautus(E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2)\RP\ snapshot, tähän kopioimme tiedostoja, jotka ovat rekisterihaaramme varmuuskopioita HKEY_LOCAL_MACHINE\ tarina, voit lukea sen.