Cum să eliminați un banner ransomware folosind Kaspersky Rescue Disk. Metode eficiente de a elimina un banner ransomware (winlocker) Ce este un banner ransomware

Educaţie 

Buna! Astăzi am decis să scriu un articol de pe computer. Există tot mai mulți escroci pe internet în fiecare zi. Prin urmare, amenințarea de infectare a computerului crește și ea. Virușii ransomware care blochează desktopul și stoarc bani sunt foarte des întâlniți acum. Este clar că nu vom plăti bani pentru asta, dar vom curăța computerul de această infecție.

Cred că bannerele extorsioniste sunt deja iresponsabilitate și aroganță concretă. Înainte de a elimina acest virus, să ne uităm de unde a venit pentru a fi cât mai înarmați posibil pentru viitor. Apropo, bannerele apar cu conținut diferit, astfel încât să intri mai mult în panică și să trimiți bani escrocilor. Mulți se pierd și trimit bani, dar acest lucru nu se poate face! Deci, de unde vin bannerele ransomware?

Aplicații piratate
Desigur, toată lumea iubește un freebie, dar te-ai întrebat vreodată dacă acesta este de fapt un freebie? Se dovedește că atunci când descarcăm programe piratate, activatoare, crack-uri, tablete, riscăm să prindem un program de virus pe un computer. Fiecare descărcare de astfel de fișiere poate fi fatală și poate duce la consecințe nefaste. Pentru a nu prinde viruși, folosiți programe oficiale.

Descărcați din rețeaua globală
De fiecare dată când descărcați fișiere, există șansa să vă infectați computerul. Există multe cazuri când o persoană a descărcat un anumit fișier, iar după repornire a apărut un banner. Prin urmare, recomand să descărcați fișiere de orice fel de pe site-uri de încredere sau recomandate de unde mii de vizitatori descarcă în fiecare zi.

Actualizare Flash player
Petrecându-ți timpul pe internet, probabil că ai putea vedea undeva o inscripție sub forma unui banner „Jucatorul tău trebuie actualizat” sau „Jucatorul tău este învechit”. Să știi că este un virus! Desigur, dacă acest tip de banner nu duce la site-ul Adobe.

Am descris cele mai frecvente motive pentru care un virus pătrunde în computer. Pentru a reduce probabilitatea ca codul rău intenționat să ajungă pe computer, aveți nevoie de un antivirus nou, nu uitați de el! Acum să luăm în considerare cum să eliminați ransomware banner de pe un computer personal. Cu toate acestea, încă o dată, nu trimiteți niciodată banii acestor escroci. Este foarte important!!! Dacă îl trimiți, bannerul nu va merge nicăieri, iar escrocii se vor îmbogăți datorită ție.

Cel mai simplu mod este să reinstalați sistemul de operare. Am scris deja. Cu toate acestea, toate programele, componentele, antivirusul și setările instalate vor trebui reinstalate.

Există o altă modalitate de a elimina bannerul ransomware fără a reinstala sistemul de operare. O vom lua în considerare. Primul pas este să reporniți computerul. În timp ce Windows se încarcă, apăsați butonul F8.

Utilizați săgețile de pe tastatură pentru a muta cursorul și selectați secțiunea Safe Mode with Command Prompt.

După aceea, computerul ar trebui să pornească și veți vedea desktopul. Apoi, faceți clic pe Start și introduceți cuvântul regedit în caseta de căutare Găsiți programe și fișiere.

După ce ați tastat și apăsat Enter, se va deschide Registrul Windows.

17 iulie

Banner - extortionist, ce este și cum să-i faci față?!

Salutare dragi vizitatori ai blogului. Ca întotdeauna, Dmitry Smirnov este în legătură cu dumneavoastră, iar în acest articol vreau să vă spun ce este un banner extorsionist și cum poate fi de fapt îndepărtat ușor și simplu.


Este un tip de virus foarte comun în prezent. Este foarte ușor să le prinzi - simpla navigare pe Internet poate duce deja la un astfel de banner. Și nu există nicio garanție că cel mai nou antivirus plătit cu baze de date actualizate nu îl va rata. Cu toate acestea, strict vorbind, bannerele ransomware nu sunt viruși în sensul tradițional al cuvântului. Acesta nu este deloc un cod de program care se înmulțește necontrolat, care infectează tot mai multe fișiere, le modifică conținutul și este transmis de la o mașină la alta.

Estorcator de bannere - HIV 2004 - 2010!

În acest caz, ar fi ușor de identificat prin semnătura distribuită, ceea ce fac de obicei antivirusurile. Dar bannerul ransomware nu este așa, infectează doar unul, mașina țintă (de pe care a fost accesat site-ul infectat). Apoi, bannerul se înregistrează în autoload (acest lucru este posibil în multe locuri și se face prin simpla editare a registrului - codul programului pentru o astfel de operațiune este minim), poate înainte de asta se mută în altă parte (în directorul de sistem al sistemul de operare, redenumește), iar apoi În același registru, blochează capacitatea de a se dezactiva singur - interzice apelarea managerului de procese, a editorului de registry, a pornirii orice. Rezultatul acestor operațiuni este binecunoscut - pe tot ecranul se deschide un banner mare, adesea de natură pornografică, sau, opțional, informând despre utilizarea unei versiuni fără licență de Windows etc. Utilizatorul nu poate face nimic, totul este blocat, iar bannerul cere trimiterea unui SMS (natural, platit) la un anumit numar scurt, de parca ca raspuns va veni un cod care va permite deblocarea totul. Potrivit unor rapoarte, doar în Rusia milioane de oameni au trimis efectiv astfel de SMS-uri, iar majoritatea dintre ei, desigur, nu au primit niciun cod. Desigur, există și excepții, unele bannere chiar funcționează „cinstit” - vine codul și chiar și una dintre modalitățile de a scăpa de banner este să găsești cele mai frecvent utilizate coduri pe internet și să le încerci. Dar acesta este un mod foarte amator, de obicei sortit eșecului. Banner-ransomware este normal software, ușor de determinat în sistem „prin ochi” și ușor de îndepărtat. Doar că pentru un utilizator nepregătit, prezența lui pare ceva groaznic - computerul vă permite doar să introduceți codul, iar după repornirea cu butonul Reset, totul se repetă din nou.

Luați în considerare modalități de a elimina bannerele ransomware

Ele pot fi împărțite condiționat în două grupuri - necesitând o repornire a computerului și pornirea ulterioară a acestuia de pe un alt mediu (altul HDD, CD, unitate flash) și nu necesită. Primul grup de metode este mai fiabil, deoarece o coincidență este întotdeauna posibilă atunci când un banner deosebit de bine scris nu permite să fie eliminat într-un alt mod, pur și simplu nu există o astfel de metodă (utilizatorul însuși este de vină și există sunt metode simple de prevenire a unor astfel de situaţii). Tratamentul se efectuează în cazul general după cum urmează - computerul este repornit (folosind butonul Reset, de obicei banner-ul nu lasă altă opțiune), încărcat de pe alt mediu, alt sistem de operare.

Există mii de opțiuni aici - LiveCD cu sisteme de operare bazate pe diferite versiuni de Linux (există astfel de soluții de la producători de antivirus, de exemplu, cunoscutul produs Dr. Weber, utilitate specială pe o imagine de disc descărcată de pe site, care în sine elimină majoritatea bannerelor), bazată pe Windows XP Embedded „dezbrăcat” sau pur și simplu cu o interfață pseudo-grafică care vă permite doar să alegeți ceva de rulat dintr-un număr de multe utilitare utile nu numai în lupta împotriva virușilor (Hiren's Boot CD, etc.). Pornind de la un sistem de operare separat, trebuie să scanați hard disk-ul infectat, să ștergeți fișierul în care este stocat bannerul și să returnați toate modificările în registru. Adesea, toate acestea sunt realizate de un singur utilitar special. Puteți face deloc să scanați utilitarele și să faceți totul și mai rapid manual și să mergeți din partea din spate - mai întâi vedeți ce încarcă persoana externă la pornirea sistemului (în majoritatea cazurilor, este în această etapă când bannerul ransomware se va da afară, se va vedea că la pornirea sistemului este încărcat un fișier cu un nume de neînțeles sau dintr-un director precum C:\Documents and Settings\Default User\Local Settings\Temp\). Pentru a face acest lucru, puteți utiliza diferite programe pentru a vizualiza conținutul fișierelor de registry. Acestea există chiar și sub MS-DOS. Unul dintre cele mai convenabile programe de acest fel este HiJackThis (sub Windows) - se uită la absolut toate căile de pornire care se află pe sistem. În rezultatul acestui program, va exista cu siguranță un banner - dacă există unul. De fapt, estorcatorul de bannere a trecut deja de virus, ca și penentratorul!


Ei bine, atunci totul este simplu - fișierul este șters (nu ar lăsa să se facă acest lucru, fiind încărcat - dar în acest moment este încărcat un alt sistem de operare, iar malware-ul nu este capabil de nimic), iar computerul pornește pe unul nou, deja normal. Dacă există modificări în registry care împiedică lansarea managerului de activități etc., acestea pot fi deja returnate cu ușurință înapoi, cel puțin prin importul *. reg care poate fi găsit pe Internet. Lansarea editorului de registry încorporat în sine este returnată de un fișier cu text precum REGEDIT4“DisableRegistryTools”=dword:0


Estorcator de bannere. Lupta împotriva bannerului se poate face fără un disc de boot special. Majoritatea acestor bannere fac toate modificările numai în profilul utilizatorului actual, sub care se lucra în momentul infectării. Și tot ceea ce este necesar este o simplă reîncărcare, autentificarea ca alt utilizator (cu drepturi administrative) și găsirea unui fișier banner care nu este încărcat sub alt utilizator. Dacă într-un anume sistem de operareÎn general, există un singur utilizator cu drepturi administrative, în temeiul căruia se lucrează în mod constant și nu există alții - aceasta este o greșeală de calcul gravă și aceasta ar trebui corectată imediat. Cea mai bună practică în general este aceasta - să lucrezi constant sub un utilizator care nu are drepturi administrative. Și pentru tot ceea ce necesită astfel de drepturi, utilizați „Run as ...” - pentru a instala software nou și alte sarcini similare. Acest lucru va proteja sistemul de operare nu numai de bannerele ransomware, ci și de marea majoritate a altor viruși și nu va necesita resurse de sistem pentru a funcționa. Există chiar și situații amuzante în care bannerul în sine, sau un alt program rău intenționat, va solicita să ruleze ca administrator pentru instalarea lui. Există multe alte măsuri preventive care vor asigura sistemul împotriva infecției cu orice - arhivarea regulată a datelor sistemului, interzicerea rulării automate a discurilor, interzicerea editării ramurilor de registry responsabile de încărcarea automată pentru un utilizator permanent și multe altele.
Apropo, într-un anumit caz, dacă doar profilul singurului administrator din sistem s-a dovedit a fi infectat, dar există cel puțin un alt profil fără drepturi administrative, atunci îl puteți trata de sub el - rulați la fel HiJackThis în numele administratorului. Deci, el va putea căuta în toate ramurile registrului fără restricții și nu va determina lansarea bannerului. Dacă fișierul infectat nu poate fi șters de la un anumit utilizator, atunci trebuie să rulați cu drepturi administrative („Run as ...”) orice manager de fișiere - Total Commander, Far etc. și să ștergeți din acesta.


Este posibilă o situație în care nu există nimic la îndemână - fără discuri de pornire, nimic. Doar Windows „dezobținut”, care este deja infectat. Și în acest caz, o soluție la problemă este posibilă, aici este deja necesar să folosiți defecte în scrierea virusului banner, care sunt adesea permise. De exemplu, este posibil ca un banner să nu acopere complet întregul ecran. Este posibil să mergeți la desktop, să selectați „Computerul meu” cu tasta Tab, să lansați manual „taskmgr” - iar acum managerul de activități este deja pe ecran, este deja posibil să învingeți un banner de pe acesta. O altă soluție este să lansați cel puțin un notepad obișnuit („notepad”, dacă îl tastați orbește, în spatele bannerului), introduceți câteva caractere acolo, apoi apăsați Ctrl-Alt-Delete și trimiteți sistemul să repornească. Multe procese se vor închide (inclusiv bannerul) - dar notepad va întreba dacă să salveze fișierul. Anulând totul în această etapă, puteți opri supraîncărcarea și apoi căutați fișierul banner. O altă metodă originală (care necesită, totuși, acțiuni preliminare) este utilizarea handler-ului încorporat pentru mai multe apăsări de taste în Windows - „lipicios”.
Cum funcționează - atunci când apăsați orice buton de cinci ori, afișează o fereastră despre tastele sticky, cu o solicitare de acțiune. În sine, acest handler lipicios nu este necesar în mod deosebit, dar dacă este setat. exe, înlocuiți cu fișierul consolei, C:\Windows\System32\cmd. exe, se va putea apela și Linie de comanda doar apăsând Shift de cinci ori sau orice altceva. Linia de comandă invocată va fi în partea de sus a bannerului și deja puteți face multe din ea. Dacă urmați mai multe reguli simple, care nu interferează deloc cu munca de zi cu zi - aveți întotdeauna un profil de lucru de rezervă al unui alt utilizator cu drepturi administrative și amintiți-vă parola de la acesta; faceți în mod regulat copii de siguranță ale sistemului (ntbackup.exe); dacă aveți discuri bootabile cu o versiune livecd de Windows și utilitare pentru combaterea virușilor și editarea fișierelor de registry, atunci nu numai bannerele ransomware, ci și alți viruși este puțin probabil să vă poată întrerupe computerul pentru mai mult de câteva reporniri.

Winlocker (Trojan.Winlock) este un virus de computer care blochează accesul la Windows. După infectare, acesta solicită utilizatorului să trimită un SMS pentru a primi un cod care restabilește performanța computerului. Are multe modificări software: de la cele mai simple – „introduse” sub formă de add-on, până la cele mai complexe – modificarea sectorului de boot al hard disk-ului.

Un avertisment! Dacă computerul este blocat de un winlocker, în niciun caz nu trebuie să trimiteți SMS-uri sau transferuri bani gheata pentru a obține codul de deblocare a sistemului de operare. Nu există nicio garanție că îți va fi trimis. Și dacă se întâmplă acest lucru, să știi că le vei oferi atacatorilor banii tăi câștigați cu greu pentru nimic. Nu cădea în smecherii! Numai solutie corectaîn această situație - eliminați virusul ransomware de pe computer.

Auto-eliminarea bannerului ransomware

Această metodă este aplicabilă pentru winlockers care nu blochează pornirea sistemului de operare în modul sigur, editorului de registry și linia de comandă. Principiul său de funcționare se bazează doar pe utilizarea utilităților de sistem (fără utilizarea programelor antivirus).

1. Când vedeți un banner rău intenționat pe monitor, mai întâi opriți conexiunea la internet.

2. Reporniți sistemul de operare în modul sigur:

  • în momentul repornirii sistemului, țineți apăsată tasta „F8” până când meniul „Opțiuni suplimentare de pornire” apare pe monitor;
  • utilizați săgețile cursorului pentru a selecta „Mod sigur cu suport pentru linia de comandă” și apăsați „Enter”.

Atenţie! Dacă computerul refuză să pornească în modul sigur sau linia de comandă/utilitățile de sistem nu pornesc, încercați să eliminați winlocker-ul într-un alt mod (vezi mai jos).

3. La linia de comandă, tastați comanda - msconfig, apoi apăsați „ENTER”.

4. Panoul System Configuration va apărea pe ecran. Deschideți fila „Startup” în ea și examinați cu atenție lista de elemente pentru prezența unui winlocker. De regulă, numele său conține combinații alfanumerice fără sens ("mc.exe", "3dec23ghfdsk34.exe", etc.) Dezactivează toate fișierele suspecte și reține/notă-le numele.

5. Închideți panoul și accesați linia de comandă.

6. Tastați comanda „regedit” (fără ghilimele) + „ENTER”. La activare, se va deschide Editorul de registru Windows.

7. În secțiunea „Editare” din meniul editorului, faceți clic pe „Găsiți...”. Scrieți numele și extensia winlocker-ului găsit în autoload. Începeți căutarea cu butonul „Găsiți următorul...”. Toate intrările cu numele virusului trebuie șterse. Continuați scanarea cu tasta „F3” până când toate partițiile au fost scanate.

8. Imediat, în editor, deplasându-vă de-a lungul coloanei din stânga, vizualizați directorul:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Versiunea curentă\Winlogon.

Intrarea „shell” ar trebui să fie „explorer.exe”; intrarea „Userinit” este „C:\Windows\system32\userinit.exe”.

În caz contrar, dacă sunt detectate modificări rău intenționate, utilizați funcția „Fix” (buton dreapta mouse - meniu contextual) pentru a seta valorile corecte.

9. Închideți editorul și reveniți la linia de comandă.

10. Acum trebuie să eliminați bannerul de pe desktop. Pentru a face acest lucru, introduceți comanda „explorer” în rând (fără ghilimele). Când apare shell-ul Windows, eliminați toate fișierele și comenzile rapide cu nume neobișnuite (pe care nu le-ați instalat pe sistem). Cel mai probabil, unul dintre ele este bannerul.

11. Reporniți Windows în modul normal și asigurați-vă că ați reușit să eliminați malware-ul:

  • dacă bannerul a dispărut - conectați-vă la Internet, actualizați bazele de date ale antivirusului instalat sau utilizați un produs antivirus alternativ și scanați toate secțiunile hard diskului;
  • dacă bannerul continuă să blocheze sistemul de operare, utilizați o altă metodă de eliminare. Este posibil ca computerul să fi fost lovit de un winlocker, care este „remediat” în sistem într-un mod ușor diferit.

Eliminare folosind utilitare antivirus

Pentru a descărca utilitare care elimină winlockers și le arde pe un disc, veți avea nevoie de un alt computer sau laptop neinfectat. Cereți unui vecin, prieten sau prieten să-și folosească computerul timp de o oră sau două. Stoc de 3-4 discuri goale (CD-R sau DVD-R).

Sfat! Dacă citiți acest articol în scop informativ și, slavă Domnului, computerul este în viață și sănătos, încă descărcați utilitatile de vindecare discutate în acest articol și salvați-le pe discuri sau pe o unitate flash USB. „Trusa de prim ajutor” pregătită îți dublează șansele de a învinge bannerul viral! Rapid și fără griji inutile.

1. Accesați site-ul web oficial al dezvoltatorilor de utilitate - antiwinlocker.ru.

2. Pornit pagina principala faceți clic pe butonul AntiWinLockerLiveCd.

3. O listă de link-uri pentru descărcarea distribuțiilor de programe se va deschide într-o nouă filă de browser. În coloana „Imagini de disc pentru tratarea sistemelor infectate”, urmați linkul „Descărcați imaginea AntiWinLockerLiveCd” cu numărul versiunii mai vechi (mai noi) (de exemplu, 4.1.3).

4. Descărcați imaginea ISO pe computer.

5. Inscripționați-l pe DVD-R/CD-R utilizând ImgBurn sau Nero utilizând funcția „Inscripționați imaginea discului”. Imaginea ISO trebuie scrisă în formă dezambalată pentru a obține un disc de pornire.

6. Introduceți discul cu AntiWinLocker în computerul unde bannerul este răspândit. Reporniți sistemul de operare și intrați în BIOS (aflați tasta rapidă pentru introducere în raport cu computerul dvs.; opțiunile sunt „Del”, „F7”). Instalați boot-ul nu de pe hard disk (partiția de sistem C), ci de pe unitatea DVD.

7. Reporniți computerul din nou. Dacă ați făcut totul corect - ați ars corect imaginea pe disc, ați schimbat setarea de pornire în BIOS - meniul utilitarului AntiWinLockerLiveCd va apărea pe monitor.

8. Pentru a elimina automat virusul ransomware de pe computer, faceți clic pe butonul „START”. Si asta e! Nu sunt necesare alte acțiuni - distrugerea cu un singur clic.

9. La sfârșitul procedurii de eliminare, utilitatea va furniza un raport cu privire la lucrările efectuate (ce servicii și fișiere a deblocat și vindecat).

10. Închideți utilitarul. Când reporniți sistemul, reveniți la BIOS și specificați pornirea de pe hard disk. Porniți sistemul de operare în modul normal, verificați-i performanța.

WindowsUnlocker (Kaspersky Lab)

1. Deschideți pagina sms.kaspersky.ru (site-ul oficial al Kaspersky Lab) în browser.

2. Faceți clic pe butonul „Descărcați WindowsUnlocker” (situat sub inscripția „Cum să eliminați bannerul”).

3. Așteptați până când imaginea discului de pornire a Kaspersky Rescue Disk cu utilitarul WindowsUnlocker este descărcată pe computer.

4. Inscripționați imaginea ISO în același mod ca utilitarul AntiWinLockerLiveCd - creați un disc bootabil.

5. Setați BIOS-ul computerului blocat să pornească de pe unitatea DVD. Introduceți Kaspersky Rescue Disk LiveCD și reporniți sistemul.

6. Pentru a lansa utilitarul, apăsați orice tastă, apoi utilizați săgețile cursorului pentru a selecta limba interfeței ("rusă") și apăsați "ENTER".

7. Citiți termenii acordului și apăsați tasta „1” (sunt de acord).

8. Când desktop-ul Kaspersky Rescue Disk apare pe ecran, faceți clic pe pictograma din stânga din bara de activități (litera „K” pe fundal albastru) pentru a deschide meniul discului.

9. Selectați „Terminal”.

10. În fereastra terminalului (root:bash) de lângă promptul „kavrescue ~ #”, tastați „windowsunlocker” (fără ghilimele) și activați directiva cu tasta „ENTER”.

11. Va fi afișat meniul utilitar. Apăsați „1” (Deblocați Windows).

12. După deblocare, închideți terminalul.

13. Accesul la sistemul de operare este deja acolo, dar virusul este încă liber. Pentru a o distruge, procedați în felul următor:

  • conectați internetul;
  • lansați comanda rapidă „Kaspersky Rescue Disk” de pe desktop;
  • actualizarea bazelor de date de semnături antivirus;
  • selectați obiectele de verificat (este de dorit să verificați toate elementele listei);
  • cu butonul stâng al mouse-ului, activați funcția „Efectuați verificarea obiectului”;
  • dacă un virus ransomware este detectat din acțiunile sugerate, selectați „Șterge”.

14. După tratament, în meniul principal al discului, faceți clic pe „Turn off”. În momentul repornirii sistemului de operare, accesați BIOS și setați pornirea de pe HDD (hard disk). Salvați setările și porniți Windows în mod normal.

Serviciul de deblocare a computerului Dr.Web

Această metodă este de a încerca să forțezi winlocker-ul să se autodistrugă. Adică, dă-i ceea ce are nevoie - un cod de deblocare. Desigur, nu trebuie să cheltuiți bani pentru a-l obține.

1. Copiați portofelul sau numărul de telefon pe care atacatorii l-au lăsat pe banner pentru a cumpăra codul de deblocare.

2. Conectați-vă de pe alt computer „sănătos” la serviciul de deblocare Dr.Web - drweb.com/xperf/unlocker/.

3. Introduceți numărul rescris în câmp și faceți clic pe butonul „Căutare coduri”. Serviciul va selecta automat codul de deblocare în funcție de solicitarea dvs.

4. Rescrieți/copiați toate codurile afișate în rezultatele căutării.

Atenţie! Dacă acestea nu se găsesc în baza de date, folosiți recomandarea Dr.Web pentru a elimina singur winlocker-ul (urmați linkul postat sub mesajul „Din păcate, la cererea dumneavoastră...”).

5. Pe computerul infectat, introduceți codul de deblocare furnizat de serviciul Dr.Web în „interfața” bannerului.

6. În cazul autodistrugerii virusului, actualizați antivirusul și scanați toate secțiunile hard diskului.

Un avertisment! Uneori, bannerul nu răspunde la introducerea codului. În acest caz, trebuie să utilizați o altă metodă de îndepărtare.

Eliminarea bannerului MBR.Lock

MBR.Lock este unul dintre cele mai periculoase winlockers. Modifică datele și codul înregistrării master de boot a unui hard disk. Mulți utilizatori, neștiind cum să elimine acest tip de banner ransomware, încep să reinstaleze Windows, în speranța că după această procedură, computerul lor se va „recupera”. Dar, din păcate, acest lucru nu se întâmplă - virusul continuă să blocheze sistemul de operare.

Pentru a scăpa de ransomware-ul MBR.Lock, urmați acești pași (opțiunea Windows 7):
1. Introduceți discul de instalare Windows (orice versiune, asamblarea este suficientă).

2. Accesați BIOS-ul computerului (aflați tasta rapidă pentru a intra în BIOS descriere tehnica computerul dvs.). În setarea First Boot Device, setați „Cdrom” (pornire de pe o unitate DVD).

3. După repornirea sistemului, se va porni discul de instalare Windows 7. Selectați tipul sistemului dvs. (32/64 de biți), limba interfeței și faceți clic pe butonul „Următorul”.

4. În partea de jos a ecranului, sub opțiunea „Instalare”, faceți clic pe „Restaurare sistem”.

5. În panoul „Opțiuni de recuperare a sistemului”, lăsați totul așa cum este și faceți clic din nou pe „Următorul”.

6. Selectați opțiunea „Linie de comandă” din meniul Instrumente.

7. La promptul de comandă, introduceți comanda - bootrec / fixmbr, apoi apăsați „Enter”. Utilitarul de sistem va suprascrie înregistrarea de pornire și, astfel, va distruge codul rău intenționat.

8. Închideți linia de comandă și faceți clic pe „Reporniți”.

9. Scanați-vă computerul pentru viruși cu Dr.Web CureIt! sau Instrumentul de eliminare a virușilor (Kaspersky).

Este demn de remarcat faptul că există și alte moduri de a trata un computer de la un winlocker. Cu cât ai mai multe instrumente în arsenalul tău pentru a combate această infecție, cu atât mai bine. În general, după cum se spune, Dumnezeu salvează seiful - nu tentați soarta: nu mergeți pe site-uri dubioase și nu instalați software de la producători necunoscuți.

Lăsați bannerele ransomware să ocolească computerul dvs. Noroc!

Troienii Winlocker sunt un tip de malware care, prin blocarea accesului la desktop, stoarce bani de la utilizator - se presupune că dacă transferă suma necesară în contul atacatorului, acesta va primi un cod de deblocare.

Dacă o dată porniți computerul, vedeți în loc de desktop:

Sau altceva în același spirit - cu inscripții amenințătoare și uneori cu imagini obscene, nu te grăbi să-i acuzi pe cei dragi de toate păcatele.

Ei, și poate și tu însuți, au fost victime ale ransomware-ului trojan.winlock.

Cum ajung blocatorii de ransomware pe un computer?

Cel mai adesea, blocanții ajung pe computer în următoarele moduri:

  • prin programe piratate, precum și instrumente pentru hacking software plătit (crack-uri, keygens etc.);
  • sunt descărcate prin link-uri din mesajele din rețelele sociale, trimise presupus de cunoscuți, dar de fapt - de intrușii din paginile piratate;
  • descărcat din resurse web de phishing care imită site-uri cunoscute, dar de fapt create special pentru răspândirea virușilor;
  • vin prin e-mail sub formă de atașamente care însoțesc scrisori cu conținut intrigant: „ai fost dat în judecată...”, „ai fost fotografiat la locul crimei”, „ai câștigat un milion” și altele asemenea.

Atenţie! Bannerele pornografice nu sunt întotdeauna descărcate de pe site-uri porno. Se poate și cu cele mai obișnuite.

Un alt tip de ransomware este distribuit în același mod - blocatorii de browser. De exemplu, așa:

Ei cer bani pentru accesul la navigarea web printr-un browser.

Cum să eliminați bannerul „Windows este blocat” și altele asemenea?

Când desktopul este blocat, când un banner de viruși împiedică lansarea oricăror programe pe computer, puteți face următoarele:

  • intrați în modul sigur cu suport pentru linia de comandă, porniți editorul de registry și ștergeți cheile de rulare automată ale bannerului.
  • porniți de pe un disc Live CD („live”), de exemplu, ERD commander, și eliminați bannerul de pe computer atât prin registry (chei de autorun), cât și prin explorator (fișiere).
  • scanați sistemul de pe un disc de pornire cu un antivirus, cum ar fi Dr.Web LiveDisk sau Kaspersky Rescue Disk 10.

Metoda 1: Eliminarea winlocker-ului din modul sigur cu suport pentru consolă.

Deci, cum să eliminați un banner de pe un computer prin linia de comandă?

Pe mașinile cu Windows XP și 7, înainte de a porni sistemul, trebuie să apăsați rapid tasta F8 și să selectați elementul marcat din meniu (în Windows 8 \ 8.1 nu există un astfel de meniu, așa că trebuie să porniți de pe discul de instalare și rulați linia de comandă de acolo).

În loc de un desktop, o consolă se va deschide în fața ta. Pentru a lansa editorul de registry, introduceți comanda în el regeditși apăsați Enter.

Apoi, deschideți editorul de registry, găsiți intrări de viruși în el și remediați-l.

Cel mai adesea, bannerele ransomware sunt înregistrate în secțiuni:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- aici se schimbă valorile parametrilor Shell, Userinit și Uihost (ultimul parametru este doar în Windows XP). Trebuie să le remediați la normal:

  • shell=explorer.exe
  • Userinit = C:\WINDOWS\system32\userinit.exe, (C: este litera partiției de sistem. Dacă Windows este pe unitatea D, calea către Userinit va începe cu D:)
  • Uihost=LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- vezi parametrul AppInit_DLLs. În mod normal, poate fi absent sau poate avea o valoare goală.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- aici ransomware-ul creează un nou parametru cu valoarea ca cale către fișierul de blocare. Numele parametrului poate fi un șir de litere, cum ar fi dkfjghk. Trebuie îndepărtat complet.

Același lucru este valabil și pentru următoarele secțiuni:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Pentru a remedia cheile de registry, faceți clic dreapta pe setare, selectați Editare, introduceți o nouă valoare și faceți clic pe OK.

După aceea, reporniți computerul în modul normal și faceți o scanare antivirus. Acesta va elimina toate fișierele ransomware de pe hard disk.

Metoda 2. Îndepărtarea unui winlocker folosind ERD Commander.

Comandantul ERD conține un set mare de instrumente pt Recuperare Windows, inclusiv atunci când sunt lovite de troieni de blocare.

Folosind editorul de registry ERDregedit încorporat în acesta, puteți face aceleași operațiuni pe care le-am descris mai sus.

Comandantul ERD va fi indispensabil dacă Windows este blocat în toate modurile. Copii ale acestuia sunt distribuite ilegal, dar sunt ușor de găsit pe net.

Seturile de comanda ERD pentru toate versiunile de Windows se numesc discuri de pornire MSDaRT (Microsoft Diagnostic & Recovery Toolset), vin în format ISO, care este convenabil pentru inscripționarea pe DVD sau transferul pe o unitate flash USB.

Este la fel de eficient să eliminați bannerele de pe computer folosind atât discuri Dr.Web, cât și discuri Kaspersky.

Cum să vă protejați computerul de blocanți?

  • Instalați un antivirus de încredere și mențineți-l activ în orice moment.
  • Verificați toate fișierele descărcate de pe Internet pentru securitate înainte de lansare.
  • Nu faceți clic pe linkuri necunoscute.
  • Nu deschideți atașamentele de e-mail, în special cele care vin în litere cu text intrigant. Chiar și de la prietenii tăi.
  • Urmărește site-urile web pe care copiii tăi le vizitează. Utilizați controlul parental.
  • Dacă este posibil, nu utilizați software piratat - multe programe plătite pot fi înlocuite cu programe gratuite și sigure.

Salutari!
În legătură cu distribuirea în masă a gadgeturilor și dispozitivelor care rulează sistemul de operare Android, problema protejării acestora și a scăpării de malware devine din ce în ce mai urgentă. software.

Software-ul rău intenționat este împărțit în categorii, fiecare având propriile proprietăți și caracteristici. În acest articol, vom analiza cele mai comune categorii de malware pentru sistemul de operare Android și vom lua în considerare cele mai eficiente metode de combatere a acestui rău.

Îndepărtarea troienilor

Cel mai popular tip de malware este troian. Activitatea sa distructivă constă în colectarea și trimiterea de informații confidențiale către infractorii, de la corespondența personală în mesagerie instant până la detaliile cardului bancar la efectuarea unei plăți. În plus, acest malware poate trimite în secret SMS-uri către numere scurte plătite, ceea ce provoacă daune financiare proprietarului dispozitivului.

Pentru a scăpa de malware, urmați instrucțiunile:
1) Instalați de la Piața de joacă una dintre soluțiile antivirus populare pentru Android: AVG, Kaspersky, Dr. Webși scanați-vă sistemul pentru viruși.

2) După finalizarea scanării, ștergeți toate fișierele suspecte găsite.
De regulă, acțiunile exprimate sunt suficiente pentru curățați sistemul Android de troieni.

Eliminarea virusului publicitar

Aplicațiile care adaugă reclame sunt, de asemenea, destul de comune. Spre deosebire de troieni, acțiunea lor rău intenționată este să adauge reclame în interfața sistemului și în browser. Ca urmare, capacitatea de răspuns a interfeței încetinește și consumul de trafic crește!
Cel mai comun mod în care acest tip de malware intră în sistem este prin instalarea de jocuri pseudo-gratuite.
Cel mai mod eficient poate fi numită instalarea aplicației AdAvay, care va bloca accesul la adresele de la care este descărcat conținutul publicitar.
Cu toate acestea, această metodă este asociată cu unele dificultăți, și anume nevoia de a obține rădăcină acces pe dispozitivul care se instalează (aplicația nu funcționează fără ea) și instalarea aplicației de pe site, pentru care în setările dispozitivului trebuie să bifați caseta surse necunoscute, care se află în Setări -> Securitate.
Dacă aceste dificultăți nu te opresc, atunci vei face practic scapa complet de de la pop-up-uri enervante și reclame pâlpâitoare din aplicații, precum și din browser.

Eliminarea bannerului ransomware

Această categorie de programe malware blochează accesul la interfața gadgetului și solicită proprietarului să transfere bani pentru a-l debloca. Nu transferați niciodată bani către escroci. nu există nicio garanție că, după plată, veți returna accesul la gadgetul dvs.
Dacă găsiți acest malware, faceți următoarele:

1) Opriți dispozitivul și scoateți cartela SIM.

2) Porniți dispozitivul și cât mai repede posibil (înainte de apariția bannerului de blocare) accesați Setări -> Pentru dezvoltatoriși bifați caseta de lângă Depanare USB, apoi selectați aplicația suspectă din meniu. Și, în sfârșit, bifați caseta de lângă elementul care a devenit activ Așteptați ca depanatorul să se conecteze.

Dacă meniul Selectați aplicația de depanat ai o mulțime de aplicații afișate și îți este greu să identifici una rău intenționată, atunci numele acesteia cu un grad foarte mare de probabilitate poate fi subliniat în Setări –> Securitate –> Administratori de dispozitive.
Pentru a-și crește propriile privilegii și a face mai greu de eliminat, malware-ul se adaugă de obicei la această listă.

Este posibil să lipsească și secțiunea de meniu. Pentru dezvoltatori. Pentru a-l activa, trebuie să mergeți la meniu Despre Tablet PCși faceți clic pe element de mai multe ori la rând Număr de construcție.
Este posibil să trebuiască să reporniți dispozitivul de mai multe ori pentru a avea timp să faceți manipulările necesare.

3) După manipulări, interfața sistemului va fi deblocată și trebuie doar să faceți acest lucru Setări –> Securitate –> Administratori de dispozitive debifați aplicația rău intenționată. Acest lucru trebuie făcut pentru a elimina privilegiile care blochează eliminarea unei aplicații rău intenționate de către instrumentele de sistem obișnuite.

4) Eliminați aplicația rău intenționată folosind mijloace obișnuite, pentru a face acest lucru, urmați Setări -> Aplicații -> <имя приложения>

rezumat

Urmând aceste instrucțiuni, puteți face față rapid și fără efort celor mai diverse tipuri de malware care se găsesc pe smartphone-urile și tabletele care rulează pe sistemul de operare Android.

Ați putea dori, de asemenea...
Semnificația numelui Alina. Interpretarea numelui. „Alina” - semnificația numelui, originea numelui, ziua numelui, semnul zodiacal, pietre talisman Trăsături de caracter sau cum să te împrietenești cu Alina

Semnificația numelui Alina. Interpretarea numelui. „Alina” - semnificația numelui, originea numelui, ziua numelui, semnul zodiacal, pietre talisman Trăsături de caracter sau cum să te împrietenești cu Alina

De ce visezi un canar în mâinile unei femei

De ce visezi un canar în mâinile unei femei

Ghicitoare pe cărți de joc: machete și interpretări simple

Ghicitoare pe cărți de joc: machete și interpretări simple