Banner ransomware on erityinen virusohjelma, joka estää kokonaan pääsyn Windows-käyttöjärjestelmän ohjaimiin kiristääkseen rahaa pääsyn avaamiseen lähettämällä rahaa hyökkääjien puhelinnumeroon tai sähköiseen lompakkoon. Huolimatta siitä, että virusbannerien tulvan pääaalto ohitti pari vuotta sitten, joudumme edelleen ajoittain käsittelemään tapauksia, joissa tämä likainen temppu vahingoittaa tietokoneita. Tämä tapahtuu pääasiassa käyttäjille, jotka eivät ole vaivautuneet suojaamaan tietokonettaan viruksilta. Jos sinulla ei ole normaalia virustorjuntaa asennettuna, näet jonain päivänä tavallisen työpöytäsi sijaan bannerin, jonka poistaminen edellyttää tekstiviestin lähettämistä matkapuhelinnumeroosi, jonka oletetaan vastaanottavan avauskoodi. Tämä on täydellinen petos, ja riippumatta siitä, kuinka paljon rahaa lähetät, vastausta ei tietenkään tule! Annan nyt 3 tapaa poistaa ransomware-banneri Windows-tietokoneelta. Jos ne eivät auta, vain käyttöjärjestelmän täydellinen uudelleenasennus auttaa.
Voit poistaa bannerin Windowsissa kolmella tavalla:
Ensimmäinen tapa poistaa banneri
Kokeile puhelinta, tablettia tai muuta tietokonetta etsiäksesi avauskoodia Internetistä puhelinnumerosi avulla. Koodigeneraattorit kiristysohjelmavirusten lukituksen avaamiseen on sijoitettu suurimpien virustorjuntaohjelmistoja kehittävien yritysten verkkosivuille. Esimerkiksi Kaspersky Lab, DrWeb ja Deblocker. Siellä sinun on yleensä annettava puhelinnumero, johon hyökkääjät vaativat sinua lähettämään rahaa ja tekstiviestejä, tai e-lompakon numero. Vastauksena tähän saat koodin, joka auttaa sinua poistamaan eston.
Ainoa epämiellyttävä asia on, että tämä menetelmä toimii vanhimmissa ja yksinkertaisimmissa ransomware-bannereissa. Ovelemmalla, monimutkaisemmalla ja edistyneemmällä "infektiolla" tämä temppu ei enää toimi, ja sen hoitamiseksi on käytettävä seuraavia kahta menetelmää.
Toinen tapa poistaa bannerin esto tietokoneeltasi
Käytä Kaspersky Labin Kaspersky WindowsUnlocker -apuohjelmaa.
Se sisältyy Kaspersky Rescue Diskiin. Tämä on erinomainen ilmainen työkalu, jonka avulla voit nopeasti ja helposti poistaa banner ransomware -viruksen Windows 10 -tietokoneeltasi.
Kolmas tapa poistaa Windowsin estovirus
1. Sinun on käynnistettävä järjestelmä vikasietotilassa. Windows 7:ssä sinun on painettava F8-painiketta käynnistyksen yhteydessä tehdäksesi tämän. Windows 10- tai Eight-käyttöjärjestelmässä tarvitset asennuslevyn tai flash-aseman. Lisätietoja on kirjoitettu hyvin artikkelissa Windows 10 Safe Mode.
2. Seuraavaksi sinun on avattava rekisterieditori. Voit tehdä tämän painamalla Win + R -näppäinyhdistelmää ja kirjoittamalla komento "Suorita" -ikkunaan regedit.
3. Rekisterieditorista löydämme haaran:
HKEY_LOCAL_MACHINE\ OHJELMISTO\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Se sisältää merkinnän "Shell". Kaksoisnapsauta sitä ja rekisteröi tavallinen Windows Explorer - explorer.exe
Jos tutkija on jo rekisteröity "Shell"-merkintään, avaa haara:
HKEY_LOCAL_MACHINE\ OHJELMISTO\ Microsoft\ Windows NT\ CurrentVersion\ Kuvatiedoston suoritusasetukset
Avaa se ja tutki sitä huolellisesti. Jos siellä on alaosio "explorer.exe", poista se napsauttamalla hiiren kakkospainikkeella ja valitsemalla "Poista" -valikkokohta.
4. Käynnistä tietokone uudelleen. Windowsin pitäisi käynnistyä normaalisti. Tämän jälkeen muista tarkistaa tietokoneesi hyvällä virustorjuntaohjelmalla. Esimerkiksi ilmainen DrWeb CureIT.
- Poistamalla tarpeettomat Windows-palvelut käytöstä parantamaan...
Winlocker-troijalaiset ovat eräänlainen haittaohjelma, joka estämällä pääsyn työpöydälle kiristää rahaa käyttäjältä - oletettavasti, jos hän siirtää vaaditun summan hyökkääjän tilille, hän saa lukituksen avauskoodin.
Jos kun käynnistät tietokoneen, näet työpöydän sijaan:
Tai jotain muuta samassa hengessä - uhkaavilla kirjoituksilla ja joskus säädyttömillä kuvilla, älä kiirehdi syyttämään rakkaitasi kaikista synneistä. He, ja ehkä sinä itse, olette joutuneet trojan.winlock-lunastusohjelman uhreiksi.
Kuinka kiristysohjelmien estoaineet pääsevät tietokoneellesi?
Useimmiten estäjät pääsevät tietokoneellesi seuraavilla tavoilla:
- hakkeroitujen ohjelmien kautta sekä työkalujen kautta maksullisten ohjelmistojen hakkerointiin (halkeamia, keygenejä jne.);
- ladattu linkkien kautta sosiaalisten verkostojen viesteistä, oletettavasti tuttujen lähettämiä, mutta itse asiassa hakkeroitujen sivujen hyökkääjät;
- ladattu phishing-verkkoresursseista, jotka jäljittelevät tunnettuja sivustoja, mutta itse asiassa on luotu erityisesti virusten levittämistä varten;
- tule sähköpostilla liitteenä, joka liittyy kiehtovan sisällön omaaviin kirjeisiin: "sinua haettiin oikeuteen...", "sinua kuvattiin rikospaikalla", "voitat miljoonan" ja muuta vastaavaa.
Huomio! Pornografisia bannereita ei aina ladata pornosivustoilta. He voivat tehdä sen tavallisimmista.
Toinen ransomware-tyyppi leviää samalla tavalla - selaimen esto. Esimerkiksi näin:
He vaativat rahaa päästäkseen selaamaan verkkoa selaimen kautta.
Kuinka poistaa "Windows estetty" -banneri ja vastaavat?
Kun työpöytäsi on estetty ja virusbanneri estää ohjelmien suorittamisen tietokoneellasi, voit toimia seuraavasti:
- Siirry vikasietotilaan komentorivin tuella, käynnistä rekisterieditori ja poista bannerin automaattisen käynnistysavaimet.
- Käynnistä Live CD ("live" levy), esimerkiksi ERD-komento, ja poista banneri tietokoneesta sekä rekisterin (autorun keys) että Explorerin (tiedostot) kautta.
- skannaa järjestelmä käynnistyslevykkeeltä virustorjuntaohjelmalla, esim. Dr.Web LiveDisk tai Kaspersky Rescue Disk 10.
Tapa 1. Winlockerin poistaminen vikasietotilasta konsolin tuella.
Joten kuinka poistaa banneri tietokoneeltasi komentorivin kautta?
Koneissa, joissa on Windows XP ja 7, sinun on painettava nopeasti F8-näppäintä ennen kuin järjestelmä käynnistyy ja valittava merkitty kohta valikosta (Windows 8\8.1:ssä tätä valikkoa ei ole, joten sinun on käynnistettävä asennuksesta levy ja käynnistä komentorivi sieltä).
Edessäsi avautuu työpöydän sijaan konsoli. Käynnistä rekisterieditori kirjoittamalla komento siihen regedit ja paina Enter.
Avaa seuraavaksi rekisterieditori, etsi siitä virusmerkinnät ja korjaa se.
Useimmiten ransomware-bannerit rekisteröidään seuraaviin osioihin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- täällä he muuttavat Shell-, Userinit- ja Uihost-parametrien arvoja (viimeinen parametri on käytettävissä vain Windows XP:ssä). Sinun on korjattava ne normaaliksi:
- Shell = Explorer.exe
- Userinit = C:\WINDOWS\system32\userinit.exe, (C: on järjestelmäosion kirjain. Jos Windows on asemassa D, polku Userinitiin alkaa kirjaimella D:)
- Uihost = LogonUI.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- katso AppInit_DLLs-parametri. Normaalisti se voi puuttua tai sen arvo voi olla tyhjä.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- Tässä lunnasohjelma luo uuden parametrin, jonka arvo on estotiedoston polun muodossa. Parametrin nimi voi olla kirjainjono, esimerkiksi dkfjghk. Se on poistettava kokonaan.
Sama koskee seuraavia osioita:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Korjaa rekisteriavaimet napsauttamalla parametria hiiren kakkospainikkeella, valitsemalla "Muuta", kirjoittamalla uusi arvo ja napsauttamalla OK.
Tämän jälkeen käynnistä tietokoneesi uudelleen normaalitilassa ja suorita virustentorjunta, joka poistaa kaikki kiristysohjelmatiedostot kiintolevyltäsi.
Tapa 2. Winlockerin poistaminen ERD Commanderilla.
ERD-komento sisältää suuren joukon työkaluja Windowsin palauttamiseen, mukaan lukien ne, jotka ovat vahingoittuneet estämällä troijalaisia. Käyttämällä sisäänrakennettua rekisterieditoria ERDregedit voit suorittaa samat toiminnot kuin edellä kuvattiin.
ERD-komento on välttämätön, jos Windows on lukittu kaikissa tiloissa. Sen kopioita levitetään laittomasti, mutta ne on helppo löytää Internetistä.
ERD-komentosarjat kaikille Windows-versioille ovat nimeltään MSDaRT (Microsoft Diagnostic & Recovery Toolset) -käynnistyslevykkeet; ne tulevat ISO-muodossa, joka on kätevä polttaa DVD-levylle tai siirtää muistitikulle.
Kun olet käynnistänyt tällaiselta levyltä, sinun on valittava järjestelmäsi versio ja siirryttävä valikkoon ja napsauta Rekisterieditori.
Windows XP:ssä menettely on hieman erilainen - tässä sinun on avattava Käynnistä-valikko, valittava Hallintatyökalut ja rekisterieditori.
Kun olet muokannut rekisteriä, käynnistä Windows uudelleen - todennäköisesti et näe "Tietokone on estetty" -banneria.
Tapa 3. Poista esto käyttämällä virustentorjuntalevyä.
Tämä on helpoin, mutta myös pisin avaustapa. Riittää, kun poltat Dr.Web LiveDisk- tai Kaspersky Rescue Disk -otoksen DVD-levylle, käynnistät sen, aloitat skannauksen ja odotat sen valmistumista. Virus tapetaan.
Bannereiden poistaminen tietokoneelta sekä Dr.Web- että Kaspersky-levyillä on yhtä tehokasta.
Kuinka suojata tietokoneesi estäjiltä?
- Asenna luotettava virustorjunta ja pidä se aktiivisena koko ajan.
- Tarkista kaikkien Internetistä ladattujen tiedostojen suojaus ennen käynnistämistä.
- Älä klikkaa tuntemattomia linkkejä.
- Älä avaa sähköpostin liitetiedostoja, etenkään sellaisia, jotka tulevat kirjaimina, joissa on kiehtovaa tekstiä. Jopa ystäviltäsi.
- Seuraa, millä sivustoilla lapsesi vierailevat. Käytä lapsilukkoa.
- Jos mahdollista, älä käytä piraattiohjelmistoja - monet maksulliset ohjelmat voidaan korvata turvallisilla ilmaisilla.
Hei, rakkaat blogisivuston lukijat Halusin jo pitkään kirjoittaa artikkelin siitä, kuinka poistaa kiristysohjelmavirus (Winlocker), joka estää kirjautumisen tietokoneellesi.
Useimmiten tämän ongelman kohtaavat kokemattomat käyttäjät, jotka ovat puhtaan sattuman vuoksi tai huolimattomuutensa vuoksi joutuneet huijareiden uhreiksi. Kokemattomuutensa vuoksi monet ihmiset lähettävät tekstiviestiä bannerin lukituksen poistamiseksi toivoen saavansa koodin ja kuluttavat paljon rahaa ennen kuin käy selväksi, että kyseessä on vain tietokoneesi tartuttama kiristysohjelma, jota vastaan voidaan taistella sijoittamatta rahaa. .
Sanon heti, että älä missään tapauksessa maksa rahaa huijareille, kaikki, mikä on kirjoitettu sellaiseen tekstiviestibanneriin, on puhdasta huijausta. Vaikka päätät seurata vähimmän vastustuksen polkua ja aiot maksaa, se ei ole tosiasia, että tämä ratkaisee ongelmasi.
Älä myöskään turvaudu viimeiseen keinoon - älä asenna järjestelmää uudelleen. Kaikki haittaohjelmat voidaan poistaa yksinkertaisella tavalla ja ilman seurauksia. Järjestelmän uudelleenasentaminen voi edellyttää kaikkien tarvittavien tietojen poistamista kokonaan. Voit käyttää sitä vain, jos tietokoneessasi ei ole mitään arvokasta.
Kiristysohjelmien vaikutus järjestelmääsi
Winlocker keskeyttää kokonaan käyttöjärjestelmän ja estää pääsyn ohjelmien käynnistämiseen ja työpöydälle. Kiristysohjelmavirus estää pääsyn Task Manageriin ja käynnistyy heti Windowsin latautumisen jälkeen. Joskus käy niin, että haittaohjelma estää järjestelmää käynnistymästä vikasietotilassa; tässä tilanteessa ongelman ratkaiseminen on paljon vaikeampaa.
Kun virusohjelma joutuu laitteelle, se tallentaa itsensä useita kertoja eri paikkoihin, mikä vaikeuttaa sen tunnistamista ja vielä vähemmän poistamista.
Kerron sinulle muutaman sanan siitä, miksi tämä tilanne syntyy. Useimmiten tämän tyyppisen viruksen esiintyminen voidaan havaita niissä tietokoneissa, joissa ei ole virustorjuntaa. Suojataksesi laitettasi haittaohjelmilta suosittelen lukemaan artikkelin . Sinun on myös ymmärrettävä, että verkkosivustoilla sinun on oltava erittäin varovainen eikä klikata tuntemattomia linkkejä. On edelleen erittäin suuri todennäköisyys saada tällainen infektio sen jälkeen, kun olet ladannut ja asentanut ohjelman vahvistamattomasta lähteestä. Kun työskentelet Internetissä, älä unohda suojata tietokonettasi; pieninkin valppaus auttaa välttämään lisäongelmia.
Muista suorittaa tietokoneen huolto, päivittää virustorjunta ja tarkistaa laitteesi säännöllisesti haittaohjelmien varalta (voit määrittää automaattisen tarkistuksen tiettynä päivänä ja kellonaikana). Jos noudatat yksinkertaisia sääntöjä, voit välttää tartunnan.
Joten jos päätät silti käsitellä tätä ongelmaa itse, katsotaanpa useita vaihtoehtoja ransomware-viruksen eston poistamiseksi. Aloitamme yksinkertaisimmalla menetelmällä ja siirrymme vähitellen kohti monimutkaisempaa. Jos jokin vaihtoehdoista auttaa sinua, pysy siinä.
Komentojen suorittaminen komentoriviltä
Sain hiljattain tietää yksinkertaisimman menetelmän olemassaolosta, mutta se ei pysty korjaamaan ongelmaa kaikissa koneissa.
Ensimmäinen asia, joka meidän on tehtävä, on . Käynnistämme tietokoneen uudelleen ja painamme säännöllisesti F8-näppäintä latauksen aikana. Jos teit kaiken oikein, sinun pitäisi nähdä valikko, jossa on muita Windowsin käynnistysvaihtoehtoja. Valitse tässä valikossa vaihtoehto käynnistää järjestelmä Vikasietotila komentorivin tuella ja paina Enter. Latauksen jälkeen vain komentorivi tulee näkyviin ilman työpöytää ja siinä olevia pikakuvakkeita ja kuvakkeita. Anna seuraavat komennot yksitellen
- tiimi cleanmgr– Cleanmgr.exe-työkalu on suunniteltu poistamaan tarpeettomat ja vanhentuneet tiedostot;
- tiimi rstrui– komento käynnistää järjestelmän palautus (tämä komento toimii vain, jos et ole poistanut sitä käytöstä järjestelmäasetuksissa).
Kun olet syöttänyt komentoja peräkkäin, käynnistämme tietokoneen uudelleen ja tarkistamme bannerin olemassaolon. Jos se puuttuu, tämä menetelmä auttoi meitä; jos ei, siirry seuraavaan.
Eston poistaminen käynnistyksestä
Kuten ensimmäisessä menetelmässä, käynnistämme laitteen ja paina F8-näppäintä ladataksesi lisävaihtoehtojen valikon. Valitse sitten kohde Turva tila ja paina Enter. Käynnistämme Suorita-toiminnon Käynnistä-valikon kautta tai painamalla samanaikaisesti Ctrl+R-näppäimiä ja kentässä suorittaa syötä komento msconfig. Tämä avaa Windowsin käynnistysasetukset-ikkunan. Avaa Käynnistys-välilehti ja yritä löytää epäilyttävät ohjelmat.
Useimmiten tällaisten ohjelmien nimi koostuu satunnaisista kirjaimista. Jos olet löytänyt tällaisen ohjelman, poista valinta sen vieressä olevasta ruudusta. Sinun on myös katsottava mihin kansioon se on tallennettu ja poistettava se. Ennen kuin teet näitä toimia, suosittelen lukemaan artikkelin materiaalit.
Kun toiminnot on suoritettu, käynnistä tietokone uudelleen ja tarkista, onko ongelma ratkennut. Jos SMS-virus edelleen kieltää pääsyn, siirry seuraavaan menetelmään.
Rekisterin puhdistaminen bannerin jälkistä
Jos olet päässyt tähän pisteeseen ja aiemmat yritykset olivat turhia, tämän menetelmän pitäisi auttaa sinua poistamaan ransomware-viruksen eston 98%.
Haluan huomauttaa, että kaikki alla luetellut toimet on suoritettava erittäin huolellisesti ja tarkasti ohjeiden mukaisesti. Muokkaamalla rekisteriavaimia virheelliset toiminnot voivat aiheuttaa korjaamatonta vahinkoa järjestelmälle, ja jäljellä on vain Windowsin uudelleenasentaminen.
Joten, aloitetaan järjestelmä vikasietotilassa; kuinka tämä tehdään, on kuvattu yllä. Odotamme latausta ja käynnistämme "Suorita" -vaihtoehdon avautuvan ikkunan kentässä, kirjoita komento regedit. Kun olet antanut komennon, Rekisterieditori-ikkuna avautuu edessäsi.
Siirry sitten seuraavalle polulle HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Oikeassa sarakkeessa näet kaksi parametria Shell ja Userinit. Näitä parametreja vastapäätä on arvosarake. Näissä sarakkeissa ei saa olla mitään ylimääräistä (Shell-parametria vastapäätä tulee olla arvo explorer.exe, Userinit vastapäätä arvo userinit.exe). Jos siellä on lisäarvoja, tämä on viruksen seurausta ja voit turvallisesti poistaa kaiken.
Myös omantunnon helpottamiseksi neuvon sinua menemään seuraavaan osoitteeseen rekisteriasetuksissa …..
\
Microsoft\
Windows\
Nykyinen versio\
Juosta
ja tarkista, onko ikkunan oikeassa kentässä tarpeettomia tai tuntemattomia ohjelmia; jos niitä löytyy, poista ne.
Käynnistä tietokone uudelleen ja iloitse, että virus on kadonnut.
Olen melkein sataprosenttisesti varma, että jos kaikki tehdään oikein, Windowsin käynnistämisen estävä banneri katoaa. Mutta varmuuden vuoksi annan sinulle toisen tavan poistaa kiristysohjelmat. Se ei tietenkään ole niin vakava kuin muut, mutta joskus se ei ole yhtä tehokas.
Muuntopäivä Biosissa
Kun järjestelmä käynnistyy, siirry Biosiin ja muuta päivämäärä ja kellonaika viikkoa etukäteen. Tapahtuu, että banneri katoaa, mutta tämä tapahtuu hyvin harvoin.
Muista tarkistaa tietokoneesi haittaohjelmien varalta, kun olet päässyt eroon Windowsin estotoiminnosta. Täysi skannaus on suoritettava, ei nopeaa. Sinun on myös mietittävä laitteellesi laadukasta suojausta. Jos sinulla ei ole rahaa maksulliseen virustorjuntaan, kuten, voit ladata ilmaisen virustorjuntaohjelman nimeltä.
Ja viimeinen vaihe on tarkistaa tietokoneesi haittaohjelmien varalta. Tätä varten on useita ilmaisia ohjelmia, joista keskustelen seuraavissa blogini artikkeleissa.
Toivon todella, että auttoin sinua selvittämään, kuinka ransomware-banneri poistetaan, mutta jos sinulla on kysyttävää, kysy niitä kommenteissa, niin autan mielelläni.
Winlocker (Trojan.Winlock) on tietokonevirus, joka estää pääsyn Windowsiin. Tartunnan jälkeen se kehottaa käyttäjää lähettämään tekstiviestin saadakseen koodin, joka palauttaa tietokoneen toiminnan. Siinä on monia ohjelmistomuutoksia: yksinkertaisimmista - "toteutetuista" lisäosan muodossa monimutkaisimpiin - kiintolevyn käynnistyssektorin muokkaamiseen.
Varoitus! Jos tietokoneesi on lukittu Winlockerilla, älä missään tapauksessa lähetä tekstiviestejä tai siirrä rahaa saadaksesi käyttöjärjestelmän lukituksen avauskoodin. Ei ole takeita siitä, että se lähetetään sinulle. Ja jos näin tapahtuu, tiedä, että annat kovalla työllä ansaitsemasi rahasi rikollisille turhaan. Älä lankea temppuihin! Ainoa oikea ratkaisu tässä tilanteessa on poistaa ransomware-virus tietokoneeltasi.
ransomware-bannerin poistaminen itse
Tätä menetelmää voidaan soveltaa winlockereihin, jotka eivät estä käyttöjärjestelmän lataamista vikasietotilassa, rekisterieditoria ja komentoriviä. Sen toimintaperiaate perustuu yksinomaan järjestelmäapuohjelmien käyttöön (ilman virustorjuntaohjelmien käyttöä).
1. Kun näet haitallisen bannerin näytölläsi, katkaise ensin Internet-yhteys.
2. Käynnistä käyttöjärjestelmä uudelleen vikasietotilassa:
- kun järjestelmä käynnistyy uudelleen, pidä "F8"-näppäintä painettuna, kunnes "Käynnistyksen lisäasetukset" -valikko tulee näyttöön;
- Valitse kohdistimen nuolilla "Safe Mode with Command Line Support" ja paina "Enter".
Huomio! Jos tietokone kieltäytyy käynnistymästä vikasietotilaan tai komentorivi/järjestelmän apuohjelmat eivät käynnisty, yritä poistaa Winlocker jollakin toisella tavalla (katso alla).
3. Kirjoita komentokehotteeseen komento - msconfig ja paina sitten "ENTER".
4. Järjestelmän kokoonpano -paneeli tulee näkyviin. Avaa siinä "Käynnistys"-välilehti ja tarkista huolellisesti Winlockerin olemassaolo elementtien luettelo. Pääsääntöisesti sen nimi sisältää merkityksettömiä aakkosnumeerisia yhdistelmiä ("mc.exe", "3dec23ghfdsk34.exe" jne.) Poista kaikki epäilyttävät tiedostot käytöstä ja muista/kirjoita niiden nimet muistiin.
5. Sulje paneeli ja siirry komentoriville.
6. Anna komento “regedit” (ilman lainausmerkkejä) + “ENTER”. Aktivoinnin jälkeen Windowsin rekisterieditori avautuu.
7. Napsauta muokkausvalikon "Muokkaa"-osiossa "Etsi...". Kirjoita käynnistyksen yhteydessä löydetyn Winlockerin nimi ja laajennus. Aloita haku käyttämällä "Etsi seuraava..." -painiketta. Kaikki viruksen nimeä sisältävät merkinnät on poistettava. Jatka skannausta "F3"-näppäimellä, kunnes kaikki osiot on skannattu.
8. Siirry editorissa vasenta saraketta pitkin ja katso hakemistoa:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Nykyinen versio\Winlogon.
"Shell"-merkinnällä on oltava arvo "explorer.exe"; "Userinit"-merkintä on "C:\Windows\system32\userinit.exe".
Muussa tapauksessa, jos haitallisia muutoksia havaitaan, käytä "Korjaa"-toimintoa (hiiren oikea painike - kontekstivalikko) asettaaksesi oikeat arvot.
9. Sulje editori ja siirry uudelleen komentoriville.
10. Nyt sinun on poistettava banneri työpöydältäsi. Voit tehdä tämän kirjoittamalla riville komennon "explorer" (ilman lainausmerkkejä). Kun Windows-kuori tulee näkyviin, poista kaikki tiedostot ja pikakuvakkeet, joilla on epätavallinen nimi (jotta et ole asentanut järjestelmään). Todennäköisesti yksi niistä on banneri.
11. Käynnistä Windows uudelleen normaalisti ja varmista, että pystyit poistamaan haittaohjelman:
- jos banneri on kadonnut, muodosta yhteys Internetiin, päivitä asennettu virustorjuntatietokanta tai käytä vaihtoehtoista virustorjuntatuotetta ja tarkista kiintolevyn kaikki osiot;
- Jos banneri estää edelleen käyttöjärjestelmän, käytä toista poistotapaa. Ehkä tietokoneellesi on osunut Winlocker, joka on "korjattu" järjestelmään hieman eri tavalla.
Poistaminen virustorjuntaohjelmilla
Jotta voit ladata apuohjelmia, jotka poistavat Winlockers ja polttavat ne levylle, tarvitset toisen, saastumattoman tietokoneen tai kannettavan tietokoneen. Pyydä naapuria, toveria tai ystävää käyttämään tietokonettaan tunnin tai kaksi. Varaa 3-4 tyhjää levyä (CD-R tai DVD-R).
Neuvoja! Jos luet tätä artikkelia tiedotustarkoituksessa ja tietokoneesi, luojan kiitos, elää ja voi hyvin, lataa silti tässä artikkelissa käsitellyt parantavat apuohjelmat ja tallenna ne levykkeille tai muistitikulle. Valmistettu "ensiapulaukku" kaksinkertaistaa mahdollisuutesi voittaa virusbanneri! Nopeasti ja ilman turhia huolia.
1. Siirry apuohjelman kehittäjien viralliselle verkkosivustolle - antiwinlocker.ru.
2. Napsauta pääsivulla AntiWinLockerLiveCd-painiketta.
3. Luettelo linkeistä ohjelmien jakelun lataamiseen avautuu uudelle selaimen välilehdelle. Seuraa "Levykuvat tartunnan saaneiden järjestelmien hoitoon" -sarakkeessa "Lataa AntiWinLockerLiveCd-kuva" -linkkiä vanhemman (uuden) version numerolla (esimerkiksi 4.1.3).
4. Lataa kuva ISO-muodossa tietokoneellesi.
5. Polta se DVD-R/CD-R-levylle ImgBurnissa tai Nerossa käyttämällä "Burn image to disc" -toimintoa. ISO-otos on poltettava pakkaamattomana käynnistyslevyn luomiseksi.
6. Aseta AntiWinLocker-levy tietokoneeseen, jossa banneri rehottaa. Käynnistä käyttöjärjestelmä uudelleen ja siirry BIOSiin (selvitä pikanäppäin syötettäväksi tietokoneellesi; mahdollisia vaihtoehtoja ovat “Del”, “F7”). Määritä käynnistymään ei kiintolevyltä (järjestelmäosio C), vaan DVD-asemalta.
7. Käynnistä tietokone uudelleen. Jos teit kaiken oikein - poltit kuvan oikein levylle, muutit käynnistysasetuksia BIOSissa - AntiWinLockerLiveCd-apuohjelman valikko tulee näyttöön.
8. Poistaaksesi kiristysohjelmaviruksen automaattisesti tietokoneeltasi, napsauta “START”-painiketta. Siinä kaikki! Muita toimia ei tarvita - tuhoaminen yhdellä napsautuksella.
9. Poistoprosessin päätteeksi apuohjelma antaa raportin tehdystä työstä (mitkä palvelut ja tiedostot se avasi eston ja desinfioi).
10. Sulje apuohjelma. Kun käynnistät järjestelmän uudelleen, mene uudelleen BIOSiin ja määritä käynnistys kiintolevyltä. Käynnistä käyttöjärjestelmä normaalitilassa ja tarkista sen toiminta.
WindowsUnlocker (Kaspersky Lab)
1. Avaa sivu sms.kaspersky.ru (Kaspersky Labin toimistosivusto) selaimessasi.
2. Napsauta "Lataa WindowsUnlocker" -painiketta (joka sijaitsee "Kuinka poistaa banneri" -tekstin alla).
3. Odota, kunnes Kaspersky Rescue Disk -käynnistyslevykuva WindowsUnlocker-apuohjelmalla ladataan tietokoneellesi.
4. Polta ISO-otos samalla tavalla kuin AntiWinLockerLiveCd-apuohjelma – tee käynnistyslevyke.
5. Määritä lukitun tietokoneen BIOS käynnistymään DVD-asemasta. Aseta Kaspersky Rescue Disk LiveCD asemaan ja käynnistä järjestelmä uudelleen.
6. Käynnistä apuohjelma painamalla mitä tahansa näppäintä, valitse sitten kohdistinnuolilla käyttöliittymän kieli ("Venäjä") ja paina "ENTER".
7. Lue sopimuksen ehdot ja paina "1"-näppäintä (hyväksyn).
8. Kun Kaspersky Rescue Disk -työpöytä tulee näyttöön, napsauta tehtäväpalkin vasemmanpuoleisinta kuvaketta (K-kirjain sinisellä taustalla) avataksesi levyvalikon.
9. Valitse "Terminaali".
10. Kirjoita pääteikkunaan (root:bash) "kavrescue ~ #" -kehotteen lähelle "windowsunlocker" (ilman lainausmerkkejä) ja aktivoi käsky "ENTER"-näppäimellä.
11. Apuohjelmavalikko tulee näkyviin. Paina "1" (vapauta Windowsin lukitus).
12. Sulje päätelaite lukituksen avaamisen jälkeen.
13. Käyttöjärjestelmään on jo pääsy, mutta virus on edelleen ilmainen. Voit tuhota sen seuraavasti:
- yhdistää internettiin;
- käynnistä "Kaspersky Rescue Disk" -pikakuvake työpöydälläsi;
- päivitä virustentorjunta-allekirjoitustietokannat;
- valitse tarkastettavat objektit (on suositeltavaa tarkistaa kaikki luettelon elementit);
- napsauta vasenta painiketta aktivoidaksesi "Skannausobjektit" -toiminnon;
- Jos lunnasohjelmavirus havaitaan, valitse "Poista" ehdotetuista toimista.
14. Hoidon jälkeen napsauta levyn päävalikosta "Sammuta". Kun käyttöjärjestelmä käynnistyy uudelleen, siirry BIOSiin ja aseta käynnistys kiintolevyltä (kiintolevyltä). Tallenna asetukset ja käynnistä Windows normaalisti.
Tietokoneen lukituksen avauspalvelu Dr.Webiltä
Tämä menetelmä sisältää yrittämisen pakottaa winlocker tuhoutumaan itse. Eli anna hänelle mitä hän vaatii - avauskoodi. Tietenkään sinun ei tarvitse käyttää rahaa saadaksesi sen.
1. Kirjoita muistiin lompakko tai puhelinnumero, jonka hyökkääjät jättivät banneriin avauskoodin ostamista varten.
2. Kirjaudu sisään toiselta, ”terveeltä” tietokoneelta Dr.Webin lukituksen avauspalveluun - drweb.com/xperf/unlocker/.
3. Syötä uudelleen kirjoitettu numero kenttään ja napsauta "Hae koodeja" -painiketta. Palvelu valitsee automaattisesti avauskoodin pyynnöstäsi.
4. Kirjoita/kopioi kaikki hakutuloksissa näkyvät koodit.
Huomio! Jos et löydä sellaista tietokannasta, käytä Dr.Webin suositusta Winlockerin poistamiseen itse (seuraa linkkiä, joka sijaitsee viestin "Valitettavasti pyynnöstäsi..." alla.
5. Syötä tartunnan saaneen tietokoneen Dr.Web-palvelun tarjoama lukituksen avauskoodi bannerin "käyttöliittymään".
6. Jos virus tuhoutuu itsestään, päivitä virustorjunta ja tarkista kaikki kiintolevyn osiot.
Varoitus! Joskus banneri ei reagoi koodin syöttämiseen. Tässä tapauksessa sinun on käytettävä toista poistotapaa.
MBR.Lock-bannerin poistaminen
MBR.Lock on yksi vaarallisimmista winlockeista. Muokkaa kiintolevyn pääkäynnistystietueen tietoja ja koodia. Monet käyttäjät, jotka eivät tiedä kuinka poistaa tämän tyyppisiä bannerikirnistusohjelmia, alkavat asentaa Windowsia uudelleen siinä toivossa, että tämän toimenpiteen jälkeen heidän tietokoneensa "palautuu". Mutta valitettavasti näin ei tapahdu - virus estää edelleen käyttöjärjestelmän.
Voit päästä eroon MBR.Lock ransomwaresta seuraavasti (vaihtoehto Windows 7:lle):
1. Aseta Windowsin asennuslevy (mikä tahansa versio tai rakennelma käy).
2. Siirry tietokoneen BIOSiin (katso BIOSin syöttämisen pikanäppäin tietokoneesi teknisestä kuvauksesta). Aseta First Boot Device -asetuksissa "Cdrom" (käynnistys DVD-asemalta).
3. Kun järjestelmä on käynnistynyt uudelleen, Windows 7 -asennuslevy latautuu. Valitse järjestelmätyyppi (32/64 bit), käyttöliittymän kieli ja napsauta "Seuraava".
4. Napsauta näytön alareunassa "Asenna"-vaihtoehdon alta "Järjestelmän palautus".
5. Jätä "Järjestelmän palautusasetukset" -paneelin kaikki ennalleen ja napsauta "Seuraava" uudelleen.
6. Valitse Työkalut-valikosta "Komentokehote".
7. Kirjoita komentokehotteeseen komento - bootrec /fixmbr ja paina sitten Enter-näppäintä. Järjestelmäapuohjelma korvaa käynnistystietueen ja tuhoaa siten haitallisen koodin.
8. Sulje komentokehote ja napsauta "Käynnistä uudelleen".
9. Tarkista tietokoneesi virusten varalta Dr.Web CureIt! tai Viruksenpoistotyökalu (Kaspersky).
On syytä huomata, että on olemassa muita tapoja käsitellä tietokonetta Winlockerista. Mitä enemmän työkaluja sinulla on arsenaalissasi tämän infektion torjumiseksi, sitä parempi. Yleensä, kuten sanotaan, Jumala suojelee varovaisia - älä houkuttele kohtaloa: älä mene epäilyttävälle sivustolle äläkä asenna tuntemattomien valmistajien ohjelmistoja.
Anna tietokoneesi välttää ransomware-bannereita. Onnea!
Hei kaikki! Tänään päätin kirjoittaa artikkelin tietokoneeltani. Internetissä on päivittäin enemmän huijareita. Siksi tietokonetartuntojen uhka kasvaa. Ransomware-virukset ovat nykyään hyvin yleisiä, ja ne estävät työpöytäsi ja kiristävät rahaa. On selvää, että emme maksa tästä rahaa, vaan puhdistamme tietokoneen tästä tulehduksesta.
Uskon, että ransomware-bannerit ovat merkki vastuuttomuudesta ja julmuudesta. Ennen kuin poistamme tämän viruksen, katsotaan, mistä se tuli, jotta voimme olla mahdollisimman aseistettuja tulevaisuutta varten. Muuten, bannerit törmäävät eri sisältöön, joten panikoit enemmän ja lähetät rahaa huijareille. Monet ihmiset eksyvät ja lähettävät rahaa, mutta tätä ei voida tehdä! Joten mistä ransomware-bannerit tulevat?
Piraattisovellukset
Tietenkin kaikki rakastavat ilmaistarjousta, mutta oletko koskaan ajatellut, mitä ilmaisraha itse asiassa on? Osoittautuu, että kun lataat piraattiohjelmia, aktivaattoreita, halkeamia, tabletteja, vaarana on saada virusohjelma tietokoneeseen. Jokainen tällaisten tiedostojen lataus voi olla kohtalokas ja johtaa huonoihin seurauksiin. Käytä virallisia ohjelmia virusten tarttumisen välttämiseksi.
Lataaminen World Wide Webistä
Joka kerta kun lataat tiedostoja, on mahdollista, että voit tartuttaa tietokoneesi. On monia tapauksia, joissa henkilö latasi tietyn tiedoston, ja uudelleenkäynnistyksen jälkeen ilmestyi banneri. Siksi suosittelen kaikenlaisten tiedostojen lataamista luotetuilta tai suositelluilta sivustoilta, joilta tuhannet kävijät lataavat joka päivä.
Flash player päivitys
Kun vietät aikaasi Internetissä, olet ehkä nähnyt jossain bannerin, jossa lukee "Soittimesi on päivitettävä" tai "Soittimesi on vanhentunut". Tiedä - se on virus! Tietenkin, jos tällainen banneri ei johda Adoben verkkosivustolle.
Olen kuvannut yleisimmät syyt, miksi virus pääsee tietokoneellesi. Vähentääksesi todennäköisyyttä, että haitallinen koodi pääsee tietokoneellesi, sinulla on oltava uusi virustorjunta, älä unohda sitä! Katsotaanpa nyt kuinka poistaa banner-lunnasohjelmat henkilökohtaiselta tietokoneelta. Toistan kuitenkin vielä kerran - älä koskaan lähetä rahojasi näille huijareille. Se on erittäin tärkeää!!! Vaikka lähetät sen, banneri ei katoa minnekään, ja huijarit rikastuvat sinun ansiostasi.
Helpoin tapa on asentaa käyttöjärjestelmä uudelleen. kirjoitin jo. Kaikki asennetut ohjelmat, komponentit, virustorjunta ja asetukset on kuitenkin asennettava uudelleen.
On toinenkin tapa poistaa ransomware-banneri asentamatta käyttöjärjestelmää uudelleen. Harkitsemme sitä. Ensimmäinen asia, joka sinun on tehtävä, on käynnistää tietokoneesi uudelleen. Kun Windows latautuu, paina -painiketta F8.
Siirrä kohdistinta näppäimistön nuolilla ja valitse Vikasietotila komentorivin tuella -osio.
Tämän jälkeen tietokoneen pitäisi käynnistyä ja näet työpöydän. Napsauta sitten Käynnistä ja kirjoita sana regedit Etsi ohjelmia ja tiedostoja -hakukenttään.
Kun olet syöttänyt ja painanut Enter, Windowsin rekisteri avautuu.
Täällä sinun on tarkistettava kaikki osiot haitallisen koodin tai viruksen varalta.
Sinun on tarkistettava seuraavat arvot:
Userinit - siellä pitäisi olla "C:Windowssystem32userinit.exe"
Shell - "explorer.exe"
Voit muuttaa arvoja napsauttamalla riviä hiiren kakkospainikkeella ja valitsemalla yläreunasta Muokkaa.
Näin voit yksinkertaisesti poistaa ransomware-bannerin tietokoneeltasi. Viimeinen vaihe on käynnistää tietokone uudelleen ja nauttia työpöydästä. Siinä kaikki ja ole varovainen Internetissä!