Mobil

Cum să scapi de un banner ransomware pe Windows 7. Metode eficiente pentru eliminarea unui banner ransomware (Winlocker). Remedierea problemelor după eliminarea ransomware-ului

Pe Windows vechi, de exemplu, pe XP, această problemă a apărut destul de des - după descărcarea oricărui conținut din resursele de internet sau pur și simplu vizitarea site-urilor, un „Trojan” a fost introdus în pornirea sistemului de operare. Au existat multe astfel de programe troiene, dar cele mai multe au fost sub formă de publicitate - bannere. După apariția Win7, problema părea să dispară, dar după un timp bannerele s-au reluat. Majoritatea bannerelor pot fi eliminate foarte simplu, cu câteva apăsări de taste, dar pentru a face acest lucru trebuie să plătiți escrocii.

În acest articol veți învăța cum să scăpați de bannerul ransomware absolut gratuit. Articolul este scris fără a folosi termeni obscuri, așa că nu ar trebui să aveți probleme.

Metoda 1.

Să descriem cum să eliminați un banner care este încărcat împreună cu sistemul de operare.

Cel mai simplu mod de a-l elimina este deblocarea desktopului. Pentru a face acest lucru, accesați site-ul web al producătorului de antivirus - Kaspersky Lab sau Doctor Web. Pe aceste site-uri căutăm chei concepute pentru a debloca desktopul. Va trebui să utilizați formularul de recuperare. De asemenea, ar trebui să vă verificați HDD-ul pentru viruși.

Metoda 2 .

În acest caz, este mai bine să utilizați programe gratuite - CureIt și Kaspersky Virus Removal Tool. Aceste programe vă vor ajuta, cu ele nu trebuie să vă gândiți cum să scăpați de virusul bannerului. Acestea sunt descărcate absolut gratuit, iar după verificare sunt șterse automat. Nu vor interfera cu alte utilitare antivirus.

3 Metoda. Să luăm în considerare o metodă mai complicată - sistemul de operare Windows nu se încarcă.

În unele cazuri, Windows nu se poate încărca din cauza unui banner pop-up, deoarece... În loc de un ecran de încărcare, apare o fereastră care vă cere să plătiți o anumită sumă de bani pentru a vă debloca sistemul de operare. În acest caz, este mai bine să vă conectați în modul sigur. Este necesar să reporniți computerul, dacă a fost pornit, iar dacă nu a fost, atunci porniți-l, apoi, când ecranul se aprinde, începem să apăsăm butonul F8 (pe unele plăci de bază, butonul F11). După ce faceți clic pe el, veți vedea un ecran cu opțiunea de a alege cum să porniți sistemul de operare; din tot ceea ce este oferit, selectați modul sigur. Apoi încercăm să eliminăm bannerul folosind metodele sugerate mai sus.

Metoda 4. Modul sigur nu funcționează.

Cum să scapi de bannerul porno în acest caz? În astfel de situații, soluția poate fi reinstalarea Windows. Dar dacă nu doriți să pierdeți informațiile stocate pe hard disk, puteți să vă deconectați unitatea HD și să o duceți la un prieten sau la un serviciu special, unde va fi verificată pentru viruși.

Metoda 5. Convenabil pentru sistemele de operare mai vechi, cum ar fi XP.

  • De îndată ce sistemul de operare pornește, apăsați tastele „Windows + U”.
  • Faceți clic pe tastatura de pe ecran, apoi faceți clic pe „Run”.
  • Apoi faceți clic pe „Ajutor” - „Despre program”.
  • În fereastra, faceți clic pe „Site Web Microsoft”.
  • Când apare bara de adrese, trebuie să scrieți următoarele: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
  • Salvați fișierul care apare pe desktop.
  • „Fișier” / „Deschidere” / „Răsfoiți”.
  • În partea stângă a ecranului, trebuie să selectați „Desktop”. În partea de jos va fi „Tip de fișier” - „Toate fișierele”.
  • Găsim și lansăm programul pe care l-am descărcat.
  • De îndată ce apare fereastra programului, selectați o scanare completă a computerului.

În Windows 7, totul este mult mai simplu - trebuie să apăsați Win + U, apoi faceți clic pe linkul „Ajutor cu setările de setări” / „Declarație de confidențialitate”. Apoi trecem direct la punctul 5.

În prezent trăim în era computerului. Acum există un computer în fiecare casă și birou, și nici măcar unul singur. Calculatoarele sunt folosite pentru educație și divertisment. Iar dacă ai internet, poți să plătești utilități și să faci un transfer bancar. Este într-adevăr foarte convenabil și ne face viața mult mai ușoară. Și totul ar fi bine dacă s-ar apela la crime criminalitatea cibernetică, stricandu-ne starea de spirit si luminandu-ne portofelul :-).

Să aruncăm o privire mai atentă la ce este și cum putem să luptăm cu ea.

Sisteme electronice de plată Webmoney, Qiwi, Yandex money și altele - cu toții le-am folosit și le-am apreciat capacitățile. Unele dintre ele sunt mai sigure și sunt legate de un anumit computer, dublă autentificare prin SMS și o aplicație mobilă instalată pe smartphone sau tabletă. Unele sunt mai puțin sigure și stochează parolele salvate direct în browser, de unde, dacă doriți cu adevărat, le puteți copia și obține acces la contul dvs. Pentru a preveni acest lucru, trebuie să vă protejați computerul folosind programe antivirus.

De aceea, Ar trebui să aveți întotdeauna un program antivirus instalat pe computer cu cele mai recente actualizări!


Pentru majoritatea manechinelor, va fi suficient să instalați antivirusul gratuit Avast. Cel puțin ceva mai degrabă decât nimic.

Să ne uităm la situația când sunteți pe computer nici un antivirus. Ce înseamnă acest lucru? Chiar și utilizarea internetului timp de două până la trei ore cu un antivirus dezinstalat sau dezactivat vă va oferi o probabilitate mare de a „prelua” malware de pe Internet. În ce scop sunt scrise aceste programe? Iar scopul este simplu: un infractor, când se confruntă cu răspunderea penală pentru asta, nu va distribui viruși dacă nu are un venit semnificativ din asta... La fel și virușii. În ultima vreme au fost scrise cu scopul de a vă lua banii. ascuns sau evident moduri.

troieni

Cu o metodă ascunsă Un program rău intenționat, așa-numitul troian, este instalat pe computer. Pătrunde printr-o vulnerabilitate a computerului, de exemplu, atunci când firewall-ul este dezactivat sau când accesează un anumit grup de site-uri. Cel mai adesea acestea includ site-uri cu conținut erotic. Cu o metodă explicită pentru a lua bani, tu însuți transferi bani pentru deblocarea computerului într-un fel sau altul în contul infractorilor. Mai mult, este posibil să nu existe de fapt o deblocare, deoarece după transferul banilor infractorii pur și simplu nu vor fi interesați de tine.

Am decis să fac un experiment riscant). Mi-am actualizat baza de date antivirus și am mers pe un site evident suspect pentru a vă arăta cum arată. Ni se oferă imediat să descărcam un fișier de driver necunoscut, chiar și fără a specifica modelul camerei web.


Numele site-ului este vizibil în captură de ecran și nu are nicio semnificație semantică. Cel mai probabil, acest lucru a fost făcut în mod deliberat pentru a asocia acest site după nume cu cât mai multe interogări ale motorului de căutare, astfel încât să nu puteți observa discrepanța dintre subiecte. Mai mult, pe ecran vedem un număr mare de persoane care le-au descărcat și le-ar fi mulțumit.

Site-uri de înșelătorie

Foarte des, când căutăm, vedem imitații de pagini de forum cu un nume neclar și o ofertă de a descărca fișierul de care avem nevoie. Urmează o întrebare a „utilizatorului”: ei cer să trimită un SMS pentru a descărca acest fișier. Ei îi explică bucuroși că aceasta este protecție împotriva roboților, totul a fost verificat, nu vă faceți griji



Desigur, după ce trimiteți un SMS care se dovedește a fi plătit, o sumă ordonată va fi retrasă din contul dvs. sub pretextul fragil de a oferi servicii de divertisment sau informare.

De asemenea, nu instalați niciodată diferite tipuri de Bare de instrumente pe computer, în ciuda tuturor avantajelor acestei instalări, pe care autorii cu experiență special angajați v-o vor descrie colorat:


Este mai bine să vă abțineți de la vizitarea site-urilor dacă vedem acest avertisment:


Deși este posibil, aceasta este doar reasigurare de la programatorii Yandex. Acest lucru este valabil și pentru diferite extensii din surse neverificate. Sub pretextul acestui lucru, sunt adesea ascunse tot felul de viruși.

Bannere

Să vedem cum se infectează un computer cu un antivirus instalat, dar nu cu cele mai recente baze de date și firewall activate?

Cel mai adesea, un utilizator neexperimentat descarcă software rău intenționat pe computerul său fără să știe. Poate fi deghizat în orice, de exemplu, ca un utilitar sau driver cu o arhivă autoextractabilă cu extensia *.exe, sau chiar, așa cum sa întâmplat cu șeful meu, ca o scrisoare importantă, presupus de la o instanță de arbitraj. Iată cum arată unul dintre posibilele bannere ransomware care pot apărea pe desktop:


Oamenii de afaceri au adesea multe probleme. După ce și-au pierdut mințile, ei descarcă imediat atașamentul de pe e-mail și îl deschid. Mai mult, în acest caz dosarul se numea „Scrisoare”. Și până și icoana era sub formă de plic. Pentru persoanele cu studii reduse în domeniul informatic, acest lucru, din păcate, este suficient. Este extensia de fișier non-standard și pictograma acesteia care ne va alerta pe noi, utilizatorii mai experimentați.


După aceea, pe desktop a apărut un banner cu numele Watnik 91


Nu este clar pe cine urmau să inducă în eroare în acest fel, se pare că asta este tot ceea ce era capabilă imaginația lor.

Așadar, pe acest banner era tipărit text că toate fișierele dvs. cu extensia DOC, PDF, XLS, JPEG și, eventual, unele altele au fost criptate. Am reușit să le decriptăm, dar abia după două săptămâni de corespondență și trimiterea mostrelor de fișiere criptate către un site special pentru a oferi asistență ajutoarelor.

Eliminarea unui banner folosind AntiSMS

Am mai întâlnit bannere ransomware. Pentru acest caz, am un disc de boot numit Anti SMS, special creat pentru a combate bannerele ransomware. Este foarte ușor să lucrezi cu el. Este suficient să apăsați tasta BIOS de mai multe ori în primele 5 secunde de la pornirea computerului. Pentru diferite versiuni de plăci de bază, acestea sunt taste diferite, de exemplu Ștergere, F2, F11 și altele, consultați instrucțiunile de pe ecranul monitorului imediat după pornirea computerului.



După ce versiunea redusă a sistemului de operare (sistemul de operare) este încărcată în memoria RAM a computerului, trebuie să apăsăm doar un buton-pictogramă de pe ecranul monitorului și să așteptăm un mesaj că computerul a fost curățat. Pornirea automată a computerului în care se înregistrează virusul va fi ștearsă. După repornirea computerului, vom vedea că bannerul ransomware a dispărut.


Disc de pornire sau flash

Ce trebuie să faceți dacă computerul dvs. este infectat, există un banner similar pe ecran care blochează accesul la Internet și funcționarea computerului și nu aveți un astfel de disc? Ei bine, te-ai dovedit a fi nepregătit pentru o astfel de întorsătură a evenimentelor!?

Apoi puteți porni de pe un disc Linux Live Cd, de exemplu Ubuntu sau Runtu, cu suport implicit pentru acces la Internet prin Ethernet. Cei care știu vor înțelege


Și apoi descărcați utilitarul Dr web CureIt pe o unitate flash


Sau conectați-vă și efectuați aceste acțiuni de pe alt computer. Acest utilitar vă va permite să vă curățați computerul de viruși după ce porniți Windows în modul sigur. Pentru a face acest lucru, trebuie să scrieți utilitarul pe o unitate flash și, după ce încărcați Windows în modul sigur, rulați acest utilitar de pe unitatea flash.


Acest utilitar este complet gratuit și vine cu cele mai recente versiuni ale bazei de date.

Sper că după citirea acestui articol, computerul dumneavoastră va fi protejat în mod fiabil. Și dacă un banner ransomware apare pe desktop, îl puteți elimina rapid și independent.

Virușii informatici devin din ce în ce mai sofisticați în fiecare an. Unele dintre ele servesc ca o sursă de stoarcere de bani de la oameni, în timp ce altele au ca scop distrugerea sistemului și furtul de date. Există o infecție a computerului care face publicitate resurselor de internet și pur și simplu interferează cu funcționarea normală a computerului. Cea mai mare parte a celor mai puțin periculoși viruși sunt reprezentate de bannere. Acesta este cel mai frecvent spam, dar poate cauza multe probleme. Cum să eliminați un banner într-un caz sau altul? Va trebui să găsim răspunsul la această întrebare în continuare. În plus, merită să studiați toate modalitățile de a proteja sistemul de operare și locurile în care puteți „prelua” un virus banner.

Pericolul este aproape

Mai întâi, să aflăm ce surse răspândesc „infecția” computerului. La urma urmei, este întotdeauna mai ușor să previi o infecție cu PC-ul decât să vindeci sistemul de operare.

Astăzi, spam-ul, troienii și alți viruși pot pătrunde:

  • prin distribuirea de scrisori prin e-mail;
  • atunci când vizitați anumite site-uri web;
  • atunci când utilizați programe hacker;
  • în timpul descărcarii fișierelor;
  • prin instalarea de software din surse nesigure.

Aceasta este cea mai comună listă de locuri potențial periculoase pentru utilizatori. În plus, virușii sunt acum distribuiți activ prin torrente și, prin urmare, se recomandă utilizarea cu precauție a unui astfel de software.

Tipuri de virusuri

Cum să elimini un banner? Înainte de a lua măsuri decisive, utilizatorul trebuie să afle cu ce infecție specifică are de-a face. Algoritmul suplimentar al acțiunilor va depinde de acest lucru.

Utilizatorii se plâng de următoarele tipuri de bannere:

  • cu o cerere de a trimite bani la telefon;
  • oferirea de a trimite SMS-uri plătite;
  • solicitarea alimentării contului prin terminale de plată;
  • insistând asupra transferului de bani prin rețelele sociale;
  • umplerea desktopului cu reclame;
  • pagini de deschidere și bannere noi în browsere.

Ultimele 2 opțiuni sunt virușii cel mai puțin periculoși. Ele sunt adesea numite spam. A scăpa de ele este mai ușor decât pare. Dar mai întâi să ne uităm la situații mai dificile.

Safe Mode - Conectare

Cum să eliminați bannerele publicitare care blochează accesul la sistemul de operare? De obicei, astfel de programe necesită bani pentru a se conecta la Windows. Dar chiar și după ce fondurile sunt creditate, nu va urma nicio deblocare. După repornirea computerului, utilizatorul va vedea același banner.

Puteți scăpa de o astfel de infecție în diferite moduri. De exemplu, prin utilizarea modului sigur Windows. Utilizatorul va avea nevoie de:

  1. Reporniți computerul sau pur și simplu porniți-l.
  2. În timpul încărcării, apăsați F8.
  3. Selectați linia „Mod sigur...” din lista care apare. Este necesară o secțiune etichetată „linie de comandă”.
  4. Deschideți Start și introduceți regedit în bara de căutare.
  5. Selectați serviciul corespunzător și apăsați „Enter”.

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon.

Cum se elimină un banner? După acești pași, utilizatorul va trebui să efectueze o verificare amănunțită a informațiilor.

Verificarea datelor

Despre ce e vorba? După ce ați urmat calea specificată anterior, trebuie să vedeți că ferestrele corespunzătoare conțin următoarele valori:

Shell - există inscripția „explorer.exe” și doar atât;

Userinit - aici textul ar trebui să fie „C:\Windows\system32\userinit.exe”.

Aceasta este calea:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Orice găsit aici este șters. Odată ce sarcina este finalizată, utilizatorul va trebui să șteargă toate operațiunile neînțelese de la următoarele adrese:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce;

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Dar asta nu va fi suficient. Pentru a elimina bannerul ransomware, trebuie să curățați sistemul. Cum să o facă?

Despre curățarea sistemului de operare în modul sigur

Nu există nimic special sau de neînțeles în această procedură. Este suficient să urmați instrucțiunile de bază.

  1. Deschideți serviciul „regedit” conform principiului descris mai devreme.
  2. Scrieți comanda cleanmgr.
  3. Selectați partiția pe care este instalat sistemul de operare.
  4. Scanează-l.
  5. Bifați toate casetele, cu excepția „Fișiere de rezervă...”.
  6. Faceți clic pe „OK”.

Tot ce rămâne este să așteptați. În câteva minute utilizatorul va avea acces la sistemul de operare. Dar acesta nu este un motiv de bucurie. La urma urmei, prin acțiunile descrise, cel mai probabil, virusul a fost dezactivat. Acum trebuie să scăpăm de el.

Eliminarea ransomware-ului dezactivat

Cum să eliminați un banner de pe computer? Pentru a curăța sistemul de operare de viruși dezactivați, astăzi puteți utiliza utilitare suplimentare gratuite. Sunt o mulțime. Funcționează pe principiul unui antivirus. Este suficient să lansați programul, să scanați și să eliminați obiectele periculoase. Dacă este posibil, puteți trata software-ul sau îl puteți „remedia” automat.

Pentru a elimina virușii ransomware prezentați ca bannere, este mai bine să utilizați următoarele programe:

  • „AntiWinLockerCD”;
  • utilitarul AVZ.

Acest software este extrem de ușor de învățat. Chiar și un copil se poate descurca. Acum este clar cum să eliminați bannerul ransomware.

Kaspersky să vă ajute

Dar aceasta este doar o opțiune pentru dezvoltarea evenimentelor. Utilizatorii moderni pot folosi diferite metode de a-și trata computerul.

Puteți dezactiva virusul ransomware și scăpați de el folosind utilitarul Kaspersky „Deblocker”. Acesta este un serviciu gratuit care scapă rapid și ușor de diverse bannere. Principalul lucru este că utilizatorul are acces la un browser de internet. Apropo, operațiunile pot fi efectuate de pe un computer care nu este infectat.

Algoritmul acțiunilor se reduce la următoarele etape:

  1. Deschide site-ul în orice browser sms.kaspersky.ru.
  2. Indicati in campul corespunzator numarul de telefon sau contul specificat al estorcatorului.
  3. Introduceți codul pe care vi se cere să îl trimiteți.
  4. Faceți clic pe butonul „Obțineți codul...”.
  5. Încercați toate codurile posibile emise.

Asta e tot. Căutând prin codurile disponibile, utilizatorul va putea scăpa de virusul ransomware.

Atacul pe browser

Cum să eliminați un banner pop-up dintr-un browser? Algoritmii de acțiune propuși anterior vă ajută să vă curățați computerul de ransomware. Dar cel mai adesea oamenii se confruntă cu spam obișnuit. Deschide reclame și bannere în browsere, fură datele personale ale cetățenilor și, de asemenea, încarcă procesorul central al computerului.

În consecință, virusul va trebui să scape. Dar acest lucru se poate face în moduri diferite. În continuare, ne vom uita la cele mai comune scenarii. Sfaturile sugerate vor ajuta chiar și un utilizator începător să corecteze rapid situația.

Software suplimentar la distanță!

Utilizatorul va trebui să:

  1. Deschideți „Start” - „Panou de control”.
  2. Selectați „Eliminați programele...”.
  3. Examinați lista afișată pe ecran.
  4. Evidențiați toate componentele suspecte și inutile. De exemplu, „Baidu” sau „Vulcan Casino”.
  5. Faceți clic dreapta și faceți clic pe butonul „Ștergere” din lista derulantă.
  6. Urmați instrucțiunile de pe ecran pentru a finaliza expertul de dezinstalare.

Prima etapă de combatere a spam-ului pe computere a fost finalizată. Ce urmeaza?

Procese și viruși

Acum merită să ne gândim la ce procese rulează în sistemul de operare. Unele dintre ele pot fi rău intenționate. Dacă nu le dezactivați, atunci nu are rost să vă gândiți cum să eliminați bannerele publicitare din browser. Operațiunile nu vor duce la rezultatul final - după prima repornire a computerului, spam-ul va fi restabilit.

Cum să eliminați un banner de pe computer? Sunt eliminate programele? Atunci ai nevoie de:

  1. Apăsați Ctrl + Alt + Del de pe tastatură.
  2. Selectați serviciul „Manager de activități”.
  3. Accesați fila „Procese”.
  4. Selectați cu cursorul toate operațiunile suspecte și neclare.
  5. Apăsați butonul „Terminare...”.

Pe ecran va apărea un avertisment. Se afirmă că procesele de terminare pot perturba funcționarea sistemului de operare. După ce a fost de acord cu condiția, utilizatorul trebuie să oprească tranzacțiile suspecte.

Ștergeți memoria cache și istoricul

Cum să eliminați bannerele din browser? Aceasta nu este cea mai simplă, dar destul de accesibilă operațiune. Uneori este suficient să ștergeți pur și simplu istoricul din browserul de internet, precum și să ștergeți memoria cache.

În toate browserele, o listă a paginilor vizitate poate fi găsită în setări. De exemplu, sunt posibile următoarele acțiuni:

  1. Deschideți setările în Chrome sau Yandex.
  2. Accesați blocul „Istoric”.
  3. Faceți clic pe butonul „Ștergeți istoricul”.
  4. Bifați casetele de lângă „Tot istoricul” și „Ștergeți memoria cache”.

În unele versiuni de browsere de internet, după ce ai intrat în setări, trebuie să cauți secțiunea „Setări avansate”. Puteți găsi atât istoric, cât și date cache în el.

Și curățarea partițiilor menționate se reduce la căutarea și ștergerea folderului situat la:

C:\Documents and Settings\nume utilizator\Application Data\Opera.

Mozilla este un alt browser de internet popular. În ea, parametrii sunt resetati după cum urmează:

  1. Accesați setările browserului.
  2. Deschideți meniul Ajutor.
  3. Faceți clic pe linia „Informații pentru soluție...”.
  4. Faceți clic pe inscripția „Resetare...”.

Acum nu mai rămâne decât să reporniți browserul. Totul merge? Atunci nu trebuie să faci nimic altceva. Dar dacă reclamele și bannerele apar în continuare?

Proprietăți comenzi rapide

De exemplu, unii utilizatori consideră că este util să verifice proprietățile comenzilor rapide ale browserelor de rețea. Pentru a elimina un banner publicitar, o persoană va trebui să:

  1. Selectați comanda rapidă pentru browserul pe care îl utilizați.
  2. Faceți clic dreapta pe el.
  3. Accesați „Proprietăți”.
  4. În blocul „General”, priviți linia „Obiect”.
  5. Ștergeți tot ce este scris după fișierul executabil (format .exe) cu numele browserului.
  6. Salvează modificările.

Acești pași sunt potriviți pentru toate programele de acces la Internet. După ele, este mai bine să reporniți computerul.

Gazdă și limpede

Cum să eliminați un banner de pe computer? Unii viruși sunt înregistrați în fișierul gazdă. Prin urmare, va trebui să lucrați puțin cu el.

Utilizatorul trebuie să meargă la:

C:\Windows\System32\drivers\etc.

  1. Deschideți fișierul „Gazdă” cu notepad.
  2. Ștergeți tot ce este scris pe document.
  3. Salvați fișierul modificat.
  4. Eliminați toate duplicatele „Gazdă”, dacă există.

În unele cazuri, este mai ușor să selectați documentul menționat și să-l ștergeți ținând apăsat butonul Shift.

Antivirusurile vin în ajutor

Trebuie să vă dați seama cum să eliminați un banner din Yandex? Dacă sfaturile de mai sus nu aduc rezultate, va trebui să mergi mai departe. De exemplu, vă puteți scana computerul pentru viruși.

Pentru a face acest lucru, trebuie doar să lansați sistemul antivirus și să faceți clic pe butonul „Scanare profundă”. Orice software va funcționa - Kaspersky, NOD32 și Avast. Odată ce procedura este finalizată, persoana va trebui să trateze toate obiectele potențial periculoase. Și ceea ce nu a răspuns la tratament ar trebui eliminat.

Astfel de operațiuni sunt activate prin controale antivirus standard. Prin urmare, nu sunt necesare abilități sau cunoștințe de la utilizator.

Registrul computerului trebuie să fie curat

Ne-am dat seama cum să scoatem bannerul. Ce alte sfaturi vă vor ajuta să faceți față acestei sarcini?

Pentru a curăța automat registrul computerului, va trebui să:

  1. Lansați CCleaner.
  2. Faceți clic pe secțiunea „Înregistrare”.
  3. Faceți clic pe butonul „Analiză”.
  4. Selectați opțiunea „Curățare”. Va apărea după scanarea sistemului.

După finalizarea procedurii, registry va fi curat. Puteți reporni sistemul de operare și vedeți dacă există vreun rezultat. Este important ca toate browserele să fie închise atunci când lucrați cu utilitarul.

Măsuri extreme

Dar asta nu este tot. Pentru a răspunde cum să eliminați un banner pop-up dintr-un browser, unii oameni sunt gata să ia măsuri extreme. De obicei, nu le vine, dar nici nu este nevoie să excludem astfel de situații. Despre ce e vorba?

Pentru a scăpa de orice virus din browser, puteți pur și simplu să ștergeți browserul de internet cu toate datele utilizatorului. Prin reinstalarea (a nu fi confundat cu actualizarea) software-ului, veți putea relua lucrul cu software-ul funcțional. Înainte de dezinstalare, este mai bine să faceți copii ale marcajelor, dacă există.

În unele cazuri, funcționarea sistemului de operare este restabilită după o derulare a sistemului de operare. Operațiunea se realizează folosind instrumente standard Windows. Puteți găsi secțiunea dorită în „Start”, în folderul „Toate programele” - „Accesorii” - „Instrumente de sistem”. Urmând instrucțiunile de pe ecran, „victima” va restabili sistemul în câteva minute.

Ultima modalitate de a scăpa de bannere și de viruși în general este reinstalarea completă a Windows-ului. Necesită un disc de instalare. În timpul operațiunii, se recomandă formatarea completă a hard disk-ului „mașinii”. Acesta este singurul mod de a scăpa 100% de toate infecțiile existente ale computerului.

În prezent trăim în era computerului. Acum există un computer în fiecare casă și birou, și nici măcar unul singur. Calculatoarele sunt folosite pentru educație și divertisment. Iar dacă ai internet, poți să plătești utilități și să faci un transfer bancar. Este într-adevăr foarte convenabil și ne face viața mult mai ușoară. Și totul ar fi bine dacă s-ar apela la crime criminalitatea cibernetică, stricandu-ne starea de spirit si luminandu-ne portofelul :-).

Să aruncăm o privire mai atentă la ce este și cum putem să luptăm cu ea.

Sisteme electronice de plată Webmoney, Qiwi, Yandex money și altele - cu toții le-am folosit și le-am apreciat capacitățile. Unele dintre ele sunt mai sigure și sunt legate de un anumit computer, dublă autentificare prin SMS și o aplicație mobilă instalată pe smartphone sau tabletă. Unele sunt mai puțin sigure și stochează parolele salvate direct în browser, de unde, dacă doriți cu adevărat, le puteți copia și obține acces la contul dvs. Pentru a preveni acest lucru, trebuie să vă protejați computerul folosind programe antivirus.

De aceea, Ar trebui să aveți întotdeauna un program antivirus instalat pe computer cu cele mai recente actualizări!


Pentru majoritatea manechinelor, va fi suficient să instalați antivirusul gratuit Avast. Cel puțin ceva mai degrabă decât nimic.

Să ne uităm la situația când sunteți pe computer nici un antivirus. Ce înseamnă acest lucru? Chiar și utilizarea internetului timp de două până la trei ore cu un antivirus dezinstalat sau dezactivat vă va oferi o probabilitate mare de a „prelua” malware de pe Internet. În ce scop sunt scrise aceste programe? Iar scopul este simplu: un infractor, când se confruntă cu răspunderea penală pentru asta, nu va distribui viruși dacă nu are un venit semnificativ din asta... La fel și virușii. În ultima vreme au fost scrise cu scopul de a vă lua banii. ascuns sau evident moduri.

troieni

Cu o metodă ascunsă Un program rău intenționat, așa-numitul troian, este instalat pe computer. Pătrunde printr-o vulnerabilitate a computerului, de exemplu, atunci când firewall-ul este dezactivat sau când accesează un anumit grup de site-uri. Cel mai adesea acestea includ site-uri cu conținut erotic. Cu o metodă explicită pentru a lua bani, tu însuți transferi bani pentru deblocarea computerului într-un fel sau altul în contul infractorilor. Mai mult, este posibil să nu existe de fapt o deblocare, deoarece după transferul banilor infractorii pur și simplu nu vor fi interesați de tine.

Am decis să fac un experiment riscant). Mi-am actualizat baza de date antivirus și am mers pe un site evident suspect pentru a vă arăta cum arată. Ni se oferă imediat să descărcam un fișier de driver necunoscut, chiar și fără a specifica modelul camerei web.


Numele site-ului este vizibil în captură de ecran și nu are nicio semnificație semantică. Cel mai probabil, acest lucru a fost făcut în mod deliberat pentru a asocia acest site după nume cu cât mai multe interogări ale motorului de căutare, astfel încât să nu puteți observa discrepanța dintre subiecte. Mai mult, pe ecran vedem un număr mare de persoane care le-au descărcat și le-ar fi mulțumit.

Site-uri de înșelătorie

Foarte des, când căutăm, vedem imitații de pagini de forum cu un nume neclar și o ofertă de a descărca fișierul de care avem nevoie. Urmează o întrebare a „utilizatorului”: ei cer să trimită un SMS pentru a descărca acest fișier. Ei îi explică bucuroși că aceasta este protecție împotriva roboților, totul a fost verificat, nu vă faceți griji



Desigur, după ce trimiteți un SMS care se dovedește a fi plătit, o sumă ordonată va fi retrasă din contul dvs. sub pretextul fragil de a oferi servicii de divertisment sau informare.

De asemenea, nu instalați niciodată diferite tipuri de Bare de instrumente pe computer, în ciuda tuturor avantajelor acestei instalări, pe care autorii cu experiență special angajați v-o vor descrie colorat:


Este mai bine să vă abțineți de la vizitarea site-urilor dacă vedem acest avertisment:


Deși este posibil, aceasta este doar reasigurare de la programatorii Yandex. Acest lucru este valabil și pentru diferite extensii din surse neverificate. Sub pretextul acestui lucru, sunt adesea ascunse tot felul de viruși.

Bannere

Să vedem cum se infectează un computer cu un antivirus instalat, dar nu cu cele mai recente baze de date și firewall activate?

Cel mai adesea, un utilizator neexperimentat descarcă software rău intenționat pe computerul său fără să știe. Poate fi deghizat în orice, de exemplu, ca un utilitar sau driver cu o arhivă autoextractabilă cu extensia *.exe, sau chiar, așa cum sa întâmplat cu șeful meu, ca o scrisoare importantă, presupus de la o instanță de arbitraj. Iată cum arată unul dintre posibilele bannere ransomware care pot apărea pe desktop:


Oamenii de afaceri au adesea multe probleme. După ce și-au pierdut mințile, ei descarcă imediat atașamentul de pe e-mail și îl deschid. Mai mult, în acest caz dosarul se numea „Scrisoare”. Și până și icoana era sub formă de plic. Pentru persoanele cu studii reduse în domeniul informatic, acest lucru, din păcate, este suficient. Este extensia de fișier non-standard și pictograma acesteia care ne va alerta pe noi, utilizatorii mai experimentați.


După aceea, pe desktop a apărut un banner cu numele Watnik 91


Nu este clar pe cine urmau să inducă în eroare în acest fel, se pare că asta este tot ceea ce era capabilă imaginația lor.

Așadar, pe acest banner era tipărit text că toate fișierele dvs. cu extensia DOC, PDF, XLS, JPEG și, eventual, unele altele au fost criptate. Am reușit să le decriptăm, dar abia după două săptămâni de corespondență și trimiterea mostrelor de fișiere criptate către un site special pentru a oferi asistență ajutoarelor.

Eliminarea unui banner folosind AntiSMS

Am mai întâlnit bannere ransomware. Pentru acest caz, am un disc de boot numit Anti SMS, special creat pentru a combate bannerele ransomware. Este foarte ușor să lucrezi cu el. Este suficient să apăsați tasta BIOS de mai multe ori în primele 5 secunde de la pornirea computerului. Pentru diferite versiuni de plăci de bază, acestea sunt taste diferite, de exemplu Ștergere, F2, F11 și altele, consultați instrucțiunile de pe ecranul monitorului imediat după pornirea computerului.



După ce versiunea redusă a sistemului de operare (sistemul de operare) este încărcată în memoria RAM a computerului, trebuie să apăsăm doar un buton-pictogramă de pe ecranul monitorului și să așteptăm un mesaj că computerul a fost curățat. Pornirea automată a computerului în care se înregistrează virusul va fi ștearsă. După repornirea computerului, vom vedea că bannerul ransomware a dispărut.


Disc de pornire sau flash

Ce trebuie să faceți dacă computerul dvs. este infectat, există un banner similar pe ecran care blochează accesul la Internet și funcționarea computerului și nu aveți un astfel de disc? Ei bine, te-ai dovedit a fi nepregătit pentru o astfel de întorsătură a evenimentelor!?

Apoi puteți porni de pe un disc Linux Live Cd, de exemplu Ubuntu sau Runtu, cu suport implicit pentru acces la Internet prin Ethernet. Cei care știu vor înțelege


Și apoi descărcați utilitarul Dr web CureIt pe o unitate flash


Sau conectați-vă și efectuați aceste acțiuni de pe alt computer. Acest utilitar vă va permite să vă curățați computerul de viruși după ce porniți Windows în modul sigur. Pentru a face acest lucru, trebuie să scrieți utilitarul pe o unitate flash și, după ce încărcați Windows în modul sigur, rulați acest utilitar de pe unitatea flash.


Acest utilitar este complet gratuit și vine cu cele mai recente versiuni ale bazei de date.

Sper că după citirea acestui articol, computerul dumneavoastră va fi protejat în mod fiabil. Și dacă un banner ransomware apare pe desktop, îl puteți elimina rapid și independent.

Vă cer posibila participare la problema mea. Intrebarea mea este aceasta: Cum să eliminați un banner: „Trimite SMS”, sistem de operare Windows 7. Apropo, al doilea sistem de pe computerul meu Windows XP a fost blocat și de un banner în urmă cu o lună, sunt un utilizator atât de nefericit. Nu pot intra în modul sigur, dar am reușit să intru Computer Troubleshooting și de acolo rulez System Restore și a apărut eroarea - Nu există puncte de restaurare pe discul de sistem al acestui computer.

Nu a fost posibil să găsiți codul de deblocare pe site-ul Dr.Web, precum și pe ESET. Recent, am reușit să elimin un astfel de banner de la un prieten folosind ESET NOD32 LiveCD System Recovery Disk, dar în cazul meu nu ajută. Am încercat și Dr.Web LiveCD. Am setat ceasul din BIOS cu un an înainte, bannerul nu a dispărut. Pe diferite forumuri de pe Internet, se recomandă corectarea parametrilor UserInit și Shell din cheia de registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Dar cum ajung acolo? Folosești LiveCD? Aproape toate discurile LiveCD nu se conectează la sistemul de operare și operațiuni precum editarea registrului, vizualizarea obiectelor de pornire, precum și jurnalele de evenimente nu sunt disponibile de pe un astfel de disc sau mă înșel.

În general, există informații despre cum să eliminați un banner de pe Internet, dar în general nu este complet și mi se pare că mulți oameni copiază aceste informații undeva și le publică pe site-ul lor, astfel încât să fie doar acolo, dar întreabă. cum funcționează totul, vor ridica din umeri. Cred că acesta nu este cazul tău, dar, în general, vreau să găsesc și să elimin singur virusul, m-am săturat să reinstalez sistemul. Și ultima întrebare - există o diferență fundamentală în metodele de eliminare a bannerelor ransomware în sistemele de operare Windows XP și Windows 7. Puteți ajuta?

Cum să eliminați un banner

Există destul de multe moduri de a te ajuta să scapi de virus, acesta se mai numește și Trojan.Winlock, dar dacă ești un utilizator începător, toate aceste metode vor necesita răbdare, rezistență și înțelegere din partea ta că ai întâlnit un inamic serios. , dacă nu vă este frică, să începem.

  • Articolul s-a dovedit a fi lung, dar tot ce s-a spus funcționează de fapt atât în ​​sistemele de operare Windows 7, cât și în Windows XP, dacă este o diferență undeva, cu siguranță voi remarca acest punct. Cel mai important lucru de știut este elimina bannerulși recuperați rapid sistemul de operare, nu va funcționa întotdeauna, dar este inutil să puneți bani în contul estorsionarului, nu veți primi niciun cod de deblocare înapoi, așa că există un stimulent să luptați pentru sistemul dvs.
  • Prieteni, în acest articol vom lucra cu mediul de recuperare Windows 7, sau mai exact cu linia de comandă pentru mediul de recuperare. Îți voi da comenzile necesare, dar dacă îți este greu să le ții minte, poți. Acest lucru vă va ușura mult munca.

Să începem cu cel mai simplu și să terminăm cu complexul. Cum să eliminați un banner folosind modul sigur. Dacă navigarea pe internet s-a încheiat fără succes și ați instalat neintenționat un cod rău intenționat, atunci trebuie să începeți cu cel mai simplu lucru - încercați să intrați în Safe Mode (din păcate, în majoritatea cazurilor nu veți reuși, dar merită să încercați), dar Cu siguranta vei putea intra(mai multe șanse), trebuie să faceți același lucru în ambele moduri, să ne uităm la ambele opțiuni.

În faza inițială de încărcare a computerului, apăsați F-8, apoi selectați, dacă reușiți să vă conectați la el, atunci puteți spune că sunteți foarte norocos și sarcina este simplificată pentru dvs. Primul lucru pe care trebuie să-l încercați este să reveniți ceva timp folosind punctele de restaurare. Pentru cei care nu știu cum să folosească recuperarea sistemului, citiți în detaliu aici -. Dacă restaurarea sistemului nu funcționează, încercați altceva.

În linia Run, tastați msconfig ,

Nici tu n-ar trebui să ai nimic în folder. Sau este situat la

C:\Utilizatori\Nume utilizator\AppData\Roaming\Microsoft\Windows\Meniu Start\Programe\Startup.

Notă importantă: Prieteni, în acest articol va trebui să vă ocupați în principal de foldere care au atributul Hidden (de exemplu AppData etc.), deci imediat ce intrați în Modul sigur sau Modul sigur cu suport pentru linia de comandă, porniți-l imediat în sistem afișând fișierele și folderele ascunse, altfel pur și simplu nu veți vedea folderele necesare în care este ascuns virusul. Este foarte ușor de făcut.

Windows XP
Deschideți orice folder și faceți clic pe meniul „Instrumente”, selectați „Opțiuni folder”, apoi accesați fila „Vizualizare”. Apoi, în partea de jos, verificați elementul „” și faceți clic pe OK

Windows 7
Start -> Panou de control-> Vizualizare: Categorie - Pictograme mici -> Opțiuni folder -> Vizualizare. În partea de jos, bifați caseta „ Afișează fișierele și folderele ascunse».

Deci, să revenim la articol. Să ne uităm la folder, nu ar trebui să ai nimic în el.

Asigurați-vă că în rădăcina unității (C:), nu există foldere și fișiere nefamiliare sau suspecte, de exemplu, cu un nume atât de neînțeles OYSQFGVXZ.exe, dacă există, trebuie să le ștergeți.

Acum atenție: în Windows XP, ștergem fișierele suspecte (un exemplu este vizibil mai sus în captură de ecran) cu nume ciudate și

cu extensia .exe din foldere

C:\
C:\Documente și setări\Nume utilizator\Date aplicație
C:\Documente și setări\Nume utilizator\Setări locale
C:\Documente și setări\Nume utilizator\Setări locale\Temp- ștergeți totul de aici, acesta este folderul cu fișiere temporare.

Windows 7 are un nivel bun de securitate și, în majoritatea cazurilor, nu va permite programelor rău intenționate să facă modificări în registry, iar marea majoritate a virușilor se străduiește să intre în directorul de fișiere temporare:
C:\USERS\nume utilizator\AppData\Local\Temp, de aici puteți rula fișierul executabil.exe. De exemplu, aduc un computer infectat, pe captură de ecran vedem fișierul virus 24kkk290347.exe și un alt grup de fișiere create de sistem aproape în același timp împreună cu virusul; totul trebuie șters.

Nu ar trebui să fie nimic suspect în ele; dacă există, le ștergem.

Și, de asemenea, asigurați-vă că:

În cele mai multe cazuri, pașii de mai sus vor elimina bannerul și vor permite sistemului să pornească normal. După încărcarea normală scanați-vă întregul computer cu un scaner antivirus gratuit cu cele mai recente actualizări - Dr.Web CureIt, descărcați-l de pe site-ul Dr.Web.

  • Notă: Puteți infecta imediat un sistem pornit normal cu un virus din nou accesând online, deoarece browserul va deschide toate paginile site-urilor pe care le-ați vizitat recent, printre acestea va fi în mod natural un site cu virus și poate fi prezent și un fișier de virus. în folderele temporare ale browserului. Găsim și, pe care le-ați folosit recent la: C:\Users\Username\AppData\Roaming\Browser name, (Opera sau Mozilla de exemplu) și într-un singur loc C:\Users\Username\AppData\Local\Your browser name, unde (C:) este partiția cu sistemul de operare instalat. Desigur, după această acțiune, toate marcajele dvs. vor dispărea, dar riscul de a vă infecta din nou este redus semnificativ.

Modul sigur cu suport pentru linia de comandă.

Dacă după toate acestea bannerul tău este încă în viață, nu renunța și citește mai departe. Sau măcar mergeți la mijlocul articolului și citiți informațiile complete despre corectarea setărilor de registry în cazul infectării cu banner ransomware.

Ce ar trebui să fac dacă nu pot intra în modul sigur? Incearca-l Modul sigur cu suport pentru linia de comandă, Acolo facem același lucru, dar există o diferențăîn comenzile Windows XP și Windows 7.

Aplicați Restaurare sistem.
În Windows 7, introduceți rstrui.exe și apăsați Enter - ajungem la fereastra System Restore.

Sau încercați să tastați comanda: explorer - se va încărca ceva de genul unui desktop, unde puteți deschide computerul meu și puteți face totul la fel ca în modul sigur - verificați computerul pentru viruși, uitați-vă la folderul Startup și rădăcina unității (C :), precum și fișierele temporare ale directorului: editați registrul după cum este necesar și așa mai departe.

Pentru a intra în Windows XP System Restore, tastați în linia de comandă - %systemroot%\system32\restore\rstrui.exe,

Pentru a intra în Windows XP în Explorer și în fereastra My Computer, ca și în cele șapte, introducem exploratorul de comenzi.


aici trebuie mai întâi să tastați exploratorul de comenzi și veți fi dus direct la desktop. Mulți oameni nu pot schimba aspectul implicit al tastaturii rusești în limba engleză în linia de comandă folosind combinația alt-shift, apoi încercați shift-alt invers.

Deja aici accesați meniul Start, apoi Run.


apoi selectați Startup - ștergeți totul din el, apoi faceți tot ce ați făcut în rădăcina unității (C:), ștergeți virusul din directorul de fișiere temporare: C:\USERS\nume utilizator\AppData\Local\Temp, editați registrul după cum este necesar ( totul este descris mai sus cu detalii).

Restaurarea sistemului. Lucrurile vor fi puțin diferite pentru noi dacă nu reușiți să intrați în modul sigur și în modul sigur cu asistență pentru linia de comandă. Înseamnă asta că tu și cu mine nu vom putea folosi System Restore? Nu, acest lucru nu înseamnă că puteți derula înapoi folosind punctele de restaurare, chiar dacă sistemul dvs. de operare nu pornește în niciun mod. În Windows 7 trebuie să utilizați mediul de recuperare; în faza inițială a pornirii computerului, apăsați F-8 și selectați din meniu Depanarea computerului,

În fereastra Opțiuni de recuperare, selectați din nou Restaurare sistem.

Acum fiți atenți, dacă atunci când apăsați meniul F-8 Depanare nu este disponibil, înseamnă că fișierele dvs. care conțin mediul de recuperare Windows 7 sunt deteriorate.

  • Este posibil să faci fără un Live CD? În principiu, da, citește articolul până la capăt.

Acum să ne gândim la ce vom face dacă nu putem porni System Restore prin niciun mijloc sau a fost complet dezactivat. Mai întâi, să vedem cum să eliminați bannerul folosind codul de deblocare, care este oferit cu amabilitate de companiile care dezvoltă software antivirus - Dr.Web, precum și ESET NOD32 și Kaspersky Lab, în ​​acest caz veți avea nevoie de ajutorul prieteni. Este necesar ca unul dintre ei să meargă la serviciul de deblocare, de exemplu Dr.Web

https://www.drweb.com/xperf/unlocker/

http://www.esetnod32.ru/.support/winlock/

precum și Kaspersky Lab

http://sms.kaspersky.ru/ și a introdus în acest câmp numărul de telefon la care trebuie să transferați bani pentru a debloca computerul și a făcut clic pe butonul - Căutați coduri. Dacă găsiți codul de deblocare, introduceți-l în fereastra bannerului și faceți clic pe Activare sau orice scrie, bannerul ar trebui să dispară.

O altă modalitate simplă de a elimina bannerul este să folosești un disc de recuperare sau așa cum se mai numesc și salvari de la și. Întregul proces de la descărcare, arderea imaginii pe un CD gol și verificarea computerului pentru viruși este descris în detaliu în articolele noastre, puteți urma linkurile, nu ne vom opri asupra acestui lucru. Apropo, discurile de salvare din datele de la companiile de antivirus nu sunt deloc rele, pot fi folosite ca LiveCD-urile - pentru a efectua diverse operațiuni cu fișiere, de exemplu, copiați date personale dintr-un sistem infectat sau rulați utilitarul de vindecare de la Dr.Web - Dr.Web CureIt - de pe o unitate flash. Și în discul de salvare ESET NOD32 există un lucru minunat care m-a ajutat de mai multe ori - Userinit_fix, care corectează setări importante de registry pe un computer infectat cu banner - Userinit, ramuri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon .

Cum să remediați toate acestea manual, citiți mai departe.
Ei bine, prietenii mei, dacă mai citește cineva articolul, atunci mă bucur mult pentru voi, acum începe distracția, dacă reușiți să învățați și, mai ales, să aplicați aceste informații în practică, mulți oameni obișnuiți pe care îi eliberați de Bannerul ransomware te va considera un hacker adevărat.

Să nu ne înșelăm, personal, tot ceea ce este descris mai sus m-a ajutat în exact jumătate din cazurile în care computerul meu a fost blocat de un virus de blocare - Trojan.Winlock. Cealaltă jumătate necesită o analiză mai atentă a problemei, ceea ce vom face.
De fapt, prin blocarea sistemului de operare, este tot Windows 7 sau Windows XP, virusul își face modificări în registry, precum și în folderele Temp care conțin fișiere temporare și în folderul C:\Windows->system32. Trebuie să corectăm aceste modificări. Nu uitați de Start->Toate Programele->Doarul de pornire. Acum despre toate acestea în detaliu.

  • Luați-vă timp, prieteni, mai întâi vă voi descrie unde se află exact ceea ce trebuie reparat, apoi vă voi arăta cum și cu ce instrumente.

În Windows 7 și Windows XP, bannerul ransomware afectează aceiași parametri UserInit și Shell din registrul din ramură

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
În mod ideal ar trebui să fie așa:
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Verificați totul prin scrisoare, uneori în loc de userinit întâlniți, de exemplu, usernit sau userlnlt.
De asemenea, trebuie să verificați parametrul AppInit_DLLs din cheia de registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, dacă găsiți ceva acolo, de exemplu C:\WINDOWS\SISTEM32\uvf.dll, toate acestea trebuie șterse.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, nu ar trebui să fie nimic suspect în privința lor.

Și, de asemenea, asigurați-vă că:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (trebuie să fie gol) și, în general, nu ar trebui să fie nimic de prisos nici aici. ParseAutoexec trebuie să fie egal cu 1 .

De asemenea, trebuie să ștergeți TOTUL din folderele temporare (există și un articol pe acest subiect), dar în Windows 7 și Windows XP sunt localizate ușor diferit:

Windows 7:
C:\Utilizatori\Nume utilizator\AppData\Local\Temp. Virușilor le place în special să se stabilească aici.
C:\Windows\Temp
C:\Windows\
Windows XP:
Din:\Documente și setări\Profil utilizator\Setări locale\Temp
Din:\Documents and Settings\User Profile\Local Settings\Temporary Internet Files.
C:\Windows\Temp
C:\Windows\Prefetch
Nu va fi de prisos să te uiți la folderul C:\Windows->system32 în ambele sisteme, toate fișierele se termină în .exe și dll cu data în ziua în care computerul tău a fost infectat de banner. Aceste fișiere trebuie șterse.

Acum urmăriți cum vor face toate acestea un începător și apoi un utilizator experimentat. Să începem cu Windows 7 și apoi să trecem la XP.

Cum să eliminați un banner în Windows 7 dacă Restaurarea sistemului a fost dezactivată?

Să ne imaginăm cel mai rău scenariu. Conectarea la Windows 7 este blocată de un banner ransomware. Restaurare sistem este dezactivată. Cea mai ușoară modalitate este să intri în sistemul Windows 7 folosind un simplu disc de recuperare (o poți face direct în sistemul de operare Windows 7 - descris în detaliu în articolul nostru), poți folosi și un simplu disc de instalare Windows 7 sau orice LiveCD simplu . Porniți în mediul de recuperare, selectați System Restore, apoi selectați linia de comandă

și tastați –notepad în el, intrați în Notepad, apoi File și Deschideți.

Intrăm în exploratorul real, facem clic pe Computerul meu.

Mergem în folderul C:\Windows\System32\Config, aici indicăm Tipul de fișier - Toate fișierele și vedem fișierele noastre de registry, vedem și folderul RegBack,

în el, la fiecare 10 zile, Task Scheduler face o copie de rezervă a cheilor de registry - chiar dacă ați dezactivat Restaurarea sistemului. Ceea ce puteți face aici este să ștergeți fișierul SOFTWARE din folderul C:\Windows\System32\Config, care este responsabil pentru stupul de registry HKEY_LOCAL_MACHINE\SOFTWARE; cel mai adesea virusul își face modificările aici.

Și în locul lui, copiați și lipiți un fișier cu același nume SOFTWARE din copia de rezervă a folderului RegBack.

În cele mai multe cazuri, acest lucru va fi suficient, dar dacă doriți, puteți înlocui toate cele cinci stupi de registry din folderul RegBack din folderul Config: SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM.

Apoi, facem totul așa cum este scris mai sus - ștergeți fișierele din folderele temporare Temp, căutați prin folderul C:\Windows->system32 fișiere cu extensia .exe și dll cu data în ziua infecției și, bineînțeles, uitați-vă la conținutul folderului Startup.

În Windows 7 se află:

C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Windows XP:

C:\Documente și setări\Toți utilizatorii\Meniu principal\Programe\Startup.

  • Cum fac utilizatorii experimentați același lucru, credeți că folosesc un simplu LiveCD sau un disc de recuperare Windows 7? Departe de prieteni, ei folosesc un instrument foarte profesional - Microsoft Diagnostic and Recovery Toolset (DaRT) Versiunea: 6.5 pentru Windows 7- acesta este un ansamblu profesional de utilități aflate pe disc și necesare administratorilor de sistem pentru a restaura rapid parametri importanți ai sistemului de operare. Dacă sunteți interesat de acest instrument, citiți articolul nostru.

Apropo, se poate conecta perfect la sistemul dvs. de operare Windows 7. Pornind computerul de pe un disc de recuperare Microsoft (DaRT), puteți edita registrul, reatribui parole, șterge și copia fișiere, folosi recuperarea sistemului și multe altele. Fără îndoială, nu fiecare LiveCD are astfel de funcții.
Ne pornim computerul de pe acesta, așa cum se mai numește, Microsoft recovery disk (DaRT).Refuzăm să inițializam conexiunea la rețea în fundal, dacă nu avem nevoie de internet.

Atribuiți litere de unitate în același mod ca pe sistemul țintă - spunem Da, este mai convenabil să lucrați în acest fel.

Aspect rusesc și nu numai. În partea de jos vedem de ce avem nevoie - Microsoft Diagnostic and Recovery Toolset. în ramura de registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs - ar trebui să fie goală.

De asemenea, tu și cu mine putem accesa pornirea folosind instrumentul de gestionare a computerului.

Instrument Explorer - fără comentarii, aici putem efectua orice operațiuni cu fișierele noastre: copiați, ștergeți, rulați un scanner antivirus de pe o unitate flash și așa mai departe.

În cazul nostru, trebuie să ștergem toate folderele temporare Temp; știți deja câte sunt și unde sunt în Windows 7 de la mijlocul articolului.
Dar atentie! Deoarece Microsoft Diagnostic and Recovery Toolset este complet conectat la sistemul dvs. de operare, nu veți putea șterge, de exemplu, fișierele de registry -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, deoarece acestea sunt în curs de desfășurare și vă rugăm să faceți modificări. .

Cum să eliminați un banner în Windows XP

Din nou, este o chestiune de instrument, sugerez să utilizați ERD Commander 5.0 (link către articolul de mai sus), așa cum am spus la începutul articolului, este special conceput pentru a rezolva probleme similare în Windows XP. ERD Commander 5.0 vă va permite să vă conectați direct la sistemul de operare și să faceți tot ce am făcut cu Microsoft Diagnostic and Recovery Toolset în Windows 7.
Pornim computerul de pe discul de recuperare. Selectăm prima opțiune - conectarea la un sistem de operare infectat.

Selectați registrul.

Ne uităm la parametrii UserInit și Shell din ramura HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. După cum am spus mai sus, ar trebui să aibă acest sens.
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Uită-te și la HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs - ar trebui să fie gol.

Apoi, accesați Explorer și ștergeți totul din folderele temporare Temp.
Cum altfel puteți elimina un banner în Windows XP folosind ERD Commander (apropo, această metodă este aplicabilă oricărui Live CD). Puteți încerca să faceți acest lucru chiar și fără a vă conecta la sistemul de operare. Descărcați ERD Commander și lucrați fără a vă conecta la Windows XP,

în acest mod, tu și cu mine vom putea șterge și înlocui fișierele de registry, deoarece acestea nu vor fi implicate în lucru. Selectați Explorer.

Fișierele de registry din sistemul de operare Windows XP se află în folderul C:\Windows\System32\Config. Și copiile de rezervă ale fișierelor de registry create în timpul instalării Windows XP se află în folderul de reparații, situat la C:\Windows\repair.

Facem același lucru, copiați mai întâi fișierul SOFTWARE,

și apoi puteți face restul fișierelor de registry - SAM, SECURITY, DEFAULT, SYSTEM pe rând din folderul de reparații și le puteți înlocui cu aceleași în folderul C:\Windows\System32\Config. Înlocuiți fișierul? Suntem de acord - Da.

Vreau să spun că în majoritatea cazurilor este suficient să înlocuiți un SOFTWARE. Când înlocuiți fișierele de registry din folderul de reparații, există șanse mari de a porni sistemul, dar majoritatea modificărilor pe care le-ați făcut după instalarea Windows XP se vor pierde. Luați în considerare dacă această metodă este potrivită pentru dvs. Nu uitați să eliminați tot ce nu este familiar de la pornire. În principiu, nu ar trebui să ștergeți clientul MSN Messenger dacă aveți nevoie de el.

Și ultima modalitate pentru astăzi de a scăpa de bannerul ransomware folosind discul ERD Commander sau orice Live CD

Dacă ați activat Restaurarea sistemului în Windows XP, dar nu o puteți aplica, puteți încerca acest lucru. Accesați folderul C:\Windows\System32\Config care conține fișierele de registry.

Folosiți glisorul pentru a deschide numele complet al fișierului și ștergeți SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM. Apropo, înainte de a le șterge, le poți copia undeva pentru orice eventualitate, nu se știe niciodată. Poate vrei să-l redai.

Apoi mergem la folder Informații despre volumul sistemului\_restore(E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2)\RP\ instantaneu, aici copiem fișiere care sunt copii de rezervă ale sucursalei noastre de registry HKEY_LOCAL_MACHINE\ poveste, o puteți citi.