Kuinka poistaa bannerit kannettavasta tietokoneesta. Tehokkaat menetelmät bannerin kiristysohjelmien poistamiseen (Winlocker)

Tässä artikkelissa aion puhua kuinka poistaa pornobanneri. Useimmat tekstiviestibannerit ja pornobannerit vaativat tekstiviestin lähettämisen osoitteeseen lyhyt numero ja syötä sitten vastausviestissä saatu koodi ikkunaan. Jos luet tätä tekstiä, sinulle on jo selvää, että sinun ei pitäisi tehdä tätä tulevaisuudessa, ja herää kysymys: "Kuinka poistaa banneri tietokoneeltasi?"

Ongelma pornobannereiden kanssa löytyy ylivoimaisesta enemmistöstä Windows XP:ssä (mutta koskee myös Windows Vista/7).

Ohjelmat pornobannerien käsittelyyn ja poistamiseen:

AVZ– apuohjelma on suunniteltu havaitsemaan ja poistamaan haitallisia ohjelmistoja:

• SpyWare- ja AdWare-moduulit ovat apuohjelman päätarkoitus
• Dialer (Trojan. Dialer)
• Troijan ohjelmat
• BackDoor-moduulit
• Verkko- ja sähköpostimadot
• TrojanSpy, TrojanDownloader, TrojanDropper

Voit ladata AVZ-ohjelman osoitteesta.

Malwarebytes-ohjelma varten nopea skannaus järjestelmät havaitsemista ja poistamista varten erilaisia ​​tyyppejä haittaohjelmat, mukaan lukien suosikkipornobannerit. Malwarebytes Anti-Malware keskittyi ensisijaisesti taisteluun vakoilumoduulit ja voit palauttaa ne kokonaan niiden poistamisen jälkeen normaalia työtä tietokone.

Estää kaiken. Avauskoodi löytyy hakukoneista. Löysimme deaktivointikoodin, syötimme sen ja huokaisimme helpotuksesta - tekstiviestibanneri katosi! Nyt meidän on puhdistettava järjestelmä. Tähän on olemassa suuri valikoima keinoja ja tapoja, voit valita makusi mukaan. Asenna ja skannaa järjestelmä Malwarebytesin Anti-Malware AVZ:llä ja suorita sitten järjestelmän palautus siihen pisteeseen, ennen kuin löysit bannerin. Jotkut eivät suosittele sitä, mutta uskallamme ehdottaa ComboFix-ohjelmaa (ennen sen käyttöä suosittelemme sen kuvauksen lukemista). Käy sitten läpi ohjelma HijackThis, FAV. Ja lopuksi mikä tahansa virustorjunta päivitetyillä tietokannoilla.

Jos et löydä avauskoodia etkä tekstiviestibanneria voi poistaa:

Kaspersky Rescue CD. Lataa iso-kuva, polta se levylle ja käynnistä se. Sinä käynnistät sen. Kun tarkistus ja hoito on suoritettu, kaiken pitäisi toimia moitteettomasti. Käynnistä uudelleen ja nauti puhtaasta järjestelmästä.

Luokittelemattomat bannerit

On toinenkin banneri, jota on vaikea luokitella mihinkään tyyppiin. SMS-banneri estää melkein kaiken yksinkertaiset vaiheet sen poistamiseen. Ctrl+Alt+Del ei auta. Seuraavaksi Ctrl+Esc - Käynnistä-valikko tulee näkyviin.

Lataa hoitoapuohjelma AnVir tehtävä Manager.Se ei ole vain modernisoitu vaihtoehto Task Managerille, vaan myös virustorjunta.

AnVir Task Managerin ominaisuudet

• Käynnistyksen hallinta, käynnissä olevat prosessit, palvelut ja kuljettajat
• Tehtävienhallinnan vaihto
• Virusten ja vakoiluohjelmien havaitseminen ja poistaminen, järjestelmän tartuttamisyritysten estäminen
• Huomattava kiihtyvyys Windowsin latauksessa ja tietokoneen käytössä
• Ohjelma on täysin ilmainen

Käynnistämme AnVirin, siirrymme Prosessit-välilehteen ja laskemme prosessimme. Meidän tapauksessamme se on - services.exe, prosessi oli naamioitu järjestelmäpalvelu service.exe.

Suoritamme prosessin ja banneri on kadonnut. Mutta vaikka meillä onkin puhdas työpöytä edessämme (eli ilman banneria), siinä ei silti ole Start-painiketta eikä Tehtävienhallinta käynnisty. Käytämme todistettua menetelmää - Ctrl + Esc - Päävalikko - Ohjelmat - Apuohjelmat - Explorer.

On myös toinen banneri, joka ei myöskään kuulu luokitteluamme. Häntä hoidetaan FAV (FixAfterVirus).

Joskus soitin vaatii päivityksen videon katsomiseksi Flash Player. Tässä sinun on oltava erityisen varovainen. Heti tällaisen ilmoituksen ja soittimen asennuksen jälkeen asennat pornobannerin tietokoneellesi. Jos kiinnität huomiota, huomaat eroja alkuperäisen Adobe Flash Player -ikkunan bannerityylissä.

Myöhemmin ilmestynyt näytönsäästäjä estää sekä regeditin että "järjestelmän palautuksen", ja se on TUNNUSTILASSA. Se ei näy heti, vaan tunnin kuluttua Flash Playerin "päivityksen" jälkeen. Se sijaitsee täällä: C:\Documents and Settings\User\LocalSettings\Temp ja on "rekisteröity" rekisteriosioon HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon. Käynnistämme uudelleen sen jälkeen, kun Live-CD on asetettu paikalleen Dr.Webistä tai ERD:n komentaja 5. (tyhjälle Live-kuva CD tai ERD Commander 5 on kirjoitettu miniminopeus, koska levy ei välttämättä käynnisty).

Käynnistämme Regeditin, kirjoitamme hakuun userinit ja palautamme sen alkuperäiseen tilaan. Jos LiveCD:llä ei ole mahdollisuutta muokata rekisteriä, siirry kohtaan C:\Document and Setting\User\LocalSettings\Temp ja poista banneritiedosto sieltä. Meidän tapauksessamme se on der1.tmp. Käynnistämme tietokoneen uudelleen - banneri on kadonnut, suorita Regedit, kirjoita hakuun userinit ja palautamme sen alkuperäiseen tilaan. Nyt meidän on palautettava järjestelmä.

Tekstiviestibanneri mainosten katselulaskurilla:

Kun napsautat "Lataa kirja" tai "Lataa kappale", ikkuna tulee näkyviin. Annat luvan asentaa oma banneri. Lue "sopimus"!

Kun painat painiketta Lähellä(tai klikkaamalla linkkiä Poista mainokset) ilmestyy ikkuna, jossa on viesti, että sinun täytyy katsoa lisää... näkymiä mainospostitukset, tai kieltäytyä katsomasta mainoksia lähettämällä tekstiviesti tekstillä 7728 numeroon 4125":

Asennettaessa virus luo C:ssä: virus luo kansioita CMedia Ja FieryAds, ja myös tiedosto fieryads.dat

Jos yrität poistaa ohjelman tiedoston avulla Uninstall.exe, (näissä kansioissa on tällainen tiedosto, niin avautuu ikkuna, jossa on viesti, että sinä velvollinen katso 1000 lisänäyttökertaa tästä mainoksesta:

Korjaustoimenpide annettu sms banneri:

1. Katkaise Internet-yhteys ja paikallinen verkko, sulje kaikki avoimet verkkosivut, tyhjennä selaimen tallentamien väliaikaisten Internet-tiedostojen välimuisti ja poista evästeet (voit tehdä tämän nopeasti CCleanerilla).

2. Kansion jälkeen \Dokumentit ja asetukset\Käyttäjänimi\Sovellustiedot\ määritteet asetettu Piilotettu, Järjestelmä, Vain luku löytää ja tuhota viruksia, ja avaa sitten Minun tietokoneeni, valitse valikko Työkalut -> Kansion asetukset…(tai napsauta Käynnistä -> Asetukset -> Ohjauspaneeli -> Kansion asetukset);

– avautuvassa valintaikkunassa Kansion ominaisuudet avaa välilehti Näytä;

– osiossa Lisävaihtoehdot valitse ruutu Näytä järjestelmäkansioiden sisältö, poista valinta Piilota suojattu järjestelmätiedostot , aseta kytkin Show piilotetut tiedostot ja kansiot -> OK.

3. Pura pornobanneri muistista apuohjelman avulla Process Explorer tai odota, kunnes hänen ikkunansa sulkeutuu itsestään;

– Etsi kansio \Dokumentit ja asetukset\Nimi_ käyttäjä\Sovellustiedot\CMedia;

– poista se koko sisällöineen (on mahdollista, että tiedostot CMedia.dll Ja g.fla et voi poistaa sitä samalla tavalla – ilman uudelleenkäynnistystä; Tarvitset apua, jotta voit poistaa ne käynnistämättä uudelleen Process Explorer);

– Etsi kansio \Dokumentit ja asetukset\Nimi_ käyttäjä\Application Data\FieryAds;

– poista se sisältöineen (tiedostot FieryAds.dll Ja FieryAdsUninstall.exe);

- kansiossa \Dokumentit ja asetukset\Nimi_ käyttäjä\Sovellustiedot poista tiedosto fieryads.dat.

Skannaa järjestelmä Dr. Web CureIt.

Tehtäväpalkki puuttuu, Tehtävienhallintaa tai mitään muuta ei voida käynnistää. Explorer.exe-prosessi on poistettu käytöstä. Käynnistä vikasietotilaan (F8 ennen Windowsin käynnistymistä).

Palauta Tehtävienhallinta toimimaan tallentamalla tämä rivi:
REGlisätäHKCU\ Ohjelmisto\ Microsoft\ Windows\ Nykyinen versio\ Käytännöt\ Järjestelmä

/ vDisableTaskMgr / tREG_ DWORD / d 0 / f

Käynnistä vikasietotilaan tuen avulla komentorivi(valikossa on tällainen latausvaihtoehto), Syötä tämä rivi ja paina Enter.
Näyttöön tulee viesti, joka osoittaa, että komento on suoritettu onnistuneesti.
Käynnistä uudelleen normaalisti. Tehtävienhallinnan pitäisi käynnistyä.

Samankaltaisella menetelmällä voit "herätä eloon" rekisterieditorin. Regedit. Tätä varten sinun on syötettävä tämä rivi:

REG lisää HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

Tällä tavalla voit poistaa kaiken automaattisen latauksen käytöstä:

REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run /va /f

Skannaa järjestelmä Dr.Web CureIt -ohjelmalla.

P.S. Jos et vieläkään ole käsitellyt viruksen kanssa, kuvaile ongelmaa kommenteissa, yritän ehdottomasti auttaa, ja voit myös lisätä ongelmasi artikkeliin.

Kuvittelemme tavallista tietokoneen käyttäjää. Tämä on henkilö, jolla on useimmiten vain vähän tietoa laitteensa suojaamisesta viruksilta. Siitä huolimatta hän "matkustaa" kaikille halutuille sivustoille, seuraa ehdotettuja linkkejä ajattelematta ollenkaan toimintansa mahdollista vaaraa. Ja yhdellä hetkellä hän näkee edessään seuraavan kuvan: tietokoneen näyttö on lukittu, ja hyökkääjät vaativat rahaa sen avaamiseksi. Mitä tehdä, miten banneri poistetaan?

Eston syyt. Miksi kukaan tarvitsee tätä?

On olemassa useita tapoja lukita tietokoneesi. Useimmiten tämä johtuu siitä, että käyttäjä vierailee pornografisilla sivustoilla tai lataa ja asentaa haittaohjelmia, joita levitetään ympäri maailmaa. Tämän seurauksena, jos tämä tapahtui sinulle ensimmäistä kertaa, saatat jopa pelätä sitä, mitä tietokoneen näytöllä näkyy. Viesti voi myös syyttää sinua keräämisestä laitonta tietoa Internetissä ja monissa muissa synneissä. Sitten he pyytävät sinua maksamaan lukituksen avausvaihtoehdosta. He kertovat sinulle yksityiskohtaisesti, missä ja kuinka paljon rahaa siirretään tätä varten. Hintapyyntö on 500-2000 ruplaa. Mutta tärkeintä on, että tekstiviestin lähettämisen jälkeen kukaan ei avaa sinulle mitään. Sinun ei siis tarvitse maksaa kenellekään mitään. Päällä tällä hetkellä aikaa, on olemassa useita tapoja ratkaista ongelma itse ilman, että heität rahaa pois.

Mitkä ovat Windowsin lukitsemisen vaarat?

Ensinnäkin tällainen ongelma voi tapahtua vain käyttöjärjestelmän lisensoimattomalla versiolla. Lisenssiä päivitetään jatkuvasti ja säännöllisesti, joten se on turvallisemmin suojattu. Tällaista virusta parannetaan jatkuvasti, eli se muuttuu yhä vaarallisemmaksi tuottaakseen tuloja tekijöilleen. Miksi hän on niin vaarallinen? Se, että se ei vain rekisteröidy käynnistyksessä, vaan se on "haudattu" paljon syvemmälle, minkä ansiosta se voi toimia ladattaessa vain palveluita ja ohjaimia sekä vikasietotilassa. Tämän jälkeen on melko vaikeaa saada laitetta toimimaan. Mutta silti, tämä ei ole täysin toivoton asia. Katsotaanpa useita tapoja elvyttää tietokoneesi, kuinka poistaa banneri ja saada mahdollisuus työskennellä uudelleen.

Avaa Windowsin lukitus Malwarebytes Anti-Malware -ohjelmalla

Tämä menetelmä ei aina takaa tehtävän suorittamista. Tässä tapauksessa voit käyttää toista menetelmää.

Viruksen poistaminen Dr.Web LiveCD:llä

Se on yksi asia, kun virus vaatii sinua lähettämään maksullisen tekstiviestin tietokoneen lukituksen avaamiseksi. Tässä tapauksessa joskus maksun jälkeen ongelma voidaan ratkaista. Ei ollenkaan fakta, kuten on jo kirjoitettu, mutta mahdollisuus on olemassa.

Se on toinen asia, jos laitteesi on saastunut Winlock-nimisellä haittaohjelmalla. Tämä virus voi helposti poistaa kaikki tietosi ja jopa syyttää sinua pornografian levittämisestä. Mutta pahinta on, että se estää järjestelmän jo ennen kuin käyttöjärjestelmä käynnistyy. Se on yllä oleva menetelmä ei voida soveltaa tähän. Ei mitään, käytämme toista vaihtoehtoa infektion tuhoamiseen - käynnistyslevy suosikkiyritykseltäsi Dr.Web. Luodaan tällainen levy ja aloitetaan.

1. Asetamme sen asemaan ja käynnistämme laitteen uudelleen.
2. Jos virus ilmestyy, mikä on mahdollista, siirry BIOSiin, jossa asetamme sen käynnistymään flash-asemalta tai asemalta. Käynnistämme uudelleen.
3. Nyt kaikki on todennäköisesti hyvin. Aseta kieli venäjäksi ja jatka eteenpäin.
4. Sinun on odotettava jonkin aikaa, jotta lataus tapahtuu. Virustorjuntaikkuna tulee näkyviin. Napsauta "Skannerin" vieressä olevaa "Go"-painiketta.
5. Tietokoneen virustarkistus on alkanut. Odotamme, että Dr.Web löytää kiristysohjelmamme ja poistaa sen. Tämän jälkeen valitsemme täysi tarkistus ja käynnistä se.
6. Kun virustorjunta havaitsee uhan, se ilmoittaa siitä meille.

Lopuksi desinfioimme rekisterin käyttämällä Dr.Web LiveCD:tä ja päinvastoin. Joskus ransomware-virus katoaa tämän jälkeen, eikä täydellistä tarkistusta enää tarvitse suorittaa. Yritämme käynnistää tietokoneen ja toivomme, että olemme suorittaneet bannerin poistamisen. Ikkunoita ei pitäisi enää estää, tämä on menneisyyttä. Ja olemme oppineet toisen menetelmän viruksen torjumiseksi.

Avaa koodit ja Avz-apuohjelma

On olemassa vaihtoehto, joka voi joissain tapauksissa myös auttaa meitä. Koodit käyttöjärjestelmän lukituksen avaamiseksi on julkaistu Dr.Web-sivustolla. Meidän on valittava luettelosta kuvakaappaus viruksestamme ja katsotaan vaadittu koodi. Voit myös kirjoittaa puhelinnumeron, johon haluat lähettää tekstiviestin, napsauttaa hakua - niin saamme koodin. Lukituksen avaamisen jälkeen sinun on desinfioitava tietokoneesi tavallisella virustorjuntaohjelmalla. Jos tämä ei auta, voit käyttää tunnettua Avz-apuohjelmaa.

1. Tätä varten tarvitsemme: levyn/flash-aseman ja tietokoneen.
2. Lataa ja tallenna apuohjelma siirrettävälle tietovälineelle.
3. Valitse käynnistysvaihtoehto "Suojaa komentorivin tuella" painamalla F8 prosessin alussa.
4. Jos prosessi on normaali, komentorivi tulee näkyviin.
5. Asetamme irrotettavan tietovälineen laitteeseen.
6. Kirjoitamme explorerin ja painamme Enter-painiketta.
7. Ennen meitä on "Oma tietokone".
8. Löydämme eteenpäin irrotettava tietoväline avz.exe-apuohjelma ja suorita se.
9. Seuraamme kurssia: "Tiedosto - Ohjattu vianmääritystoiminto, Järjestelmäongelmia- Kaikki ongelmat, tarkista kaikki kohdat paitsi "Ei käytössä" automaattinen päivitys järjestelmä" ja kaikki "Automaattinen käynnistys sallittu alkaen...". Napsauta sen jälkeen "Korjaa havaitut ongelmat".
10. Tarkistamme myös kaikki ongelmat kohdassa "Selainasetukset ja säädöt" ja napsautamme "Korjaa".
11. "Yksityisyys" -osiossa, analogisesti, huomaamme kaikki ongelmat.
12. Pysy avz:ssa, sulje ikkuna. Napsauta "Palvelu", napsauta sitten "Explorer Extensions Manager" ja poista kaikki mustalla kirjoitetut kohteet.
13. Ota nyt käyttöön "Palvelu" ja sitten "IE Extension Manager". Edessämme tulee luettelo, poistamme kaikki rivit.
14. Käynnistämme tietokoneen uudelleen, minkä jälkeen ongelmia ei todennäköisesti ole enää. Julkaisemme perinteisen virustorjuntaohjelman sen puhdistamiseksi. Bannerin poistamiseen liittyvä ongelma on ratkaistu.

Johtopäätös

Tämä on kaukana ainoat keinot ransomware-viruksen poistaminen. Voit käyttää komentosarjoja, Kaspersky-apuohjelmaa - Viruksen poisto Työkalu, asenna käyttöjärjestelmä uudelleen. Sattuu myös niin, että bannerin poistaminen ei ole kivutonta tietokoneelle. Työpöytä saattaa olla tyhjä eikä hiiren osoitin toimi. Ensimmäinen vaihtoehto korjata nämä virheet on turvatilassa ja käsitellä alla olevaa laitetta. Mutta tämä ei aina auta. Tässä tapauksessa sinun on käynnistettävä tietokone siirrettävältä tietovälineeltä. Windowsilla on erityisjakeluja tätä varten. Käynnistämme ja korjaamme laitteen. Nyt olemme vihdoin keksineet kuinka poistaa banneri työpöydältä. Tärkeä vinkki: Kuvattu hoito ei ole helppoa "ei-edenneille" tietokoneen käyttäjä. Tällaisille ihmisille, jos he eivät ole varmoja kykyistään, on parempi kääntyä asiantuntijoiden puoleen.

Varmasti joka neljäs henkilökohtaisen tietokoneen käyttäjä on kohdannut erilaisia ​​huijauksia Internetissä. Yksi petoksen tyyppi on banneri, joka estää Windowsin toiminta ja vaatii tekstiviestin lähettämisen maksulliseen numeroon tai vaatii kryptovaluutan. Pohjimmiltaan se on vain virus.

Taistellaksesi bannerikirnistusohjelmia vastaan, sinun on ymmärrettävä, mikä se on ja miten se tunkeutuu tietokoneellesi. Yleensä banneri näyttää tältä:

Mutta voi olla kaikenlaisia ​​muita muunnelmia, mutta olemus on sama - huijarit haluavat ansaita sinulta rahaa.

Tapa, jolla virus pääsee tietokoneeseen

Ensimmäinen "infektion" muunnelma on piraattisovelluksia, apuohjelmat, pelit. Tietysti Internetin käyttäjät ovat tottuneet saamaan suurimman osan haluamastaan ​​verkosta "ilmaiseksi", mutta kun lataamme piraattiohjelmistoja, pelejä, erilaisia ​​aktivaattoreita ja muita asioita epäilyttäviltä sivustoilta, vaarana on saada virukset. Tässä tilanteessa se yleensä auttaa.

Windows saattaa olla estetty ladatun tiedoston vuoksi, jonka tunniste on " .exe" Tämä ei tarkoita, että sinun pitäisi kieltäytyä lataamasta tiedostoja tällä laajennuksella. Muista vain se" .exe"saattaa koskea vain pelejä ja ohjelmia. Jos lataat videon, kappaleen, asiakirjan tai kuvan ja sen nimen lopussa on ".exe", ransomware-bannerin ilmestymisen mahdollisuus kasvaa jyrkästi 99,999 prosenttiin!

Niitä on enemmän ovela liike oletettavasti päivitystarve Flash-soitin tai selain. Saattaa käydä niin, että työskentelet Internetissä, siirryt sivulta sivulle ja jonain päivänä löydät merkinnän "Flash-soittimesi on vanhentunut, päivitä". Jos napsautat tätä banneria ja se ei johda viralliselle adobe.com-sivustolle, se on 100% virus. Tarkista siksi ennen kuin napsautat "Päivitä" -painiketta. Paras vaihtoehto tällaiset viestit jätetään huomioimatta.

Ja lopuksi vanhentunut Windows-päivitykset heikentää järjestelmän turvallisuutta. Pidä tietokoneesi suojattuna yrittämällä asentaa päivitykset ajoissa. Tämä ominaisuus voidaan määrittää sisään "Ohjauspaneelit -> Windows Update" automaattitilaan, jotta se ei häiriinny.

Kuinka avata Windows 7/8/10

Yksi niistä yksinkertaisia ​​vaihtoehtoja poista ransomware-banneri - tämä on . Se auttaa 100%, mutta on järkevää asentaa Windows uudelleen, kun sinulla ei ole tärkeitä tietoja C-asemassa, joita sinulla ei ollut aikaa tallentaa. Kun asennat järjestelmän uudelleen, kaikki tiedostot poistetaan järjestelmälevyltä. Siksi, jos et halua asentaa ohjelmistoja ja pelejä uudelleen, voit käyttää muita menetelmiä.

Käsittelyn ja järjestelmän onnistuneen käynnistämisen jälkeen ilman kiristysohjelmabanneria sinun on suoritettava lisätoimia, muuten virus voi nousta uudelleen pintaan tai järjestelmän toiminnassa on yksinkertaisesti ongelmia. Kaikki tämä on artikkelin lopussa. Kaikki tiedot olen tarkastanut henkilökohtaisesti! Joten aloitetaan!

Kaspersky Rescue Disk + WindowsUnlocker auttaa meitä!

Käytämme erityisesti kehitettyä käyttöjärjestelmää. Koko vaikeus on, että sinun on ladattava kuva työtietokoneellesi ja tai (selaa artikkeleita, se on siellä).

Kun tämä on valmis, tarvitset. Käynnistettäessä se tulee näkyviin pieni viesti, kuten "Paina mitä tahansa näppäintä käynnistääksesi CD- tai DVD-levyltä". Täällä sinun on painettava mitä tahansa näppäimistön painiketta, muuten tartunnan saanut Windows käynnistyy.

Kun lataat, paina mitä tahansa painiketta ja valitse sitten kieli - "Venäjä", hyväksy lisenssisopimus käyttämällä "1" -painiketta ja käytä käynnistystilaa - "Graphic". Kaspersky-käyttöjärjestelmän käynnistämisen jälkeen emme kiinnitä huomiota automaattisesti käynnistyvään skanneriin, vaan siirrymme "Käynnistä" -valikkoon ja käynnistämme "Terminaali"

Näyttöön tulee musta ikkuna, johon kirjoitamme komennon:

ikkunoiden lukitus

Pieni valikko aukeaa:

Valitse "Unlock Windows" "1"-painikkeella. Ohjelma itse tarkistaa ja korjaa kaiken. Nyt voit sulkea ikkunan ja tarkistaa koko tietokoneen skannerin ollessa jo käynnissä. Laita ikkunassa valintamerkki levylle Windows-käyttöjärjestelmällä ja napsauta "Suorita objektin tarkistus".

Odotamme tarkistuksen päättymistä (se voi kestää kauan) ja käynnistetään lopulta uudelleen.

Jos sinulla on kannettava tietokone ilman hiirtä ja kosketuslevy ei toimi, suosittelen käyttämään Kaspersky-levyn tekstitilaa. Tässä tapauksessa käyttöjärjestelmän käynnistämisen jälkeen sinun on ensin suljettava F10-painikkeella avautuva valikko ja kirjoitettava sitten sama komento komentoriville: windowsunlocker

Lukituksen avaaminen vikasietotilassa ilman erikoiskuvia

Nykyään virukset, kuten Winlocker, ovat tulleet älykkäämmiksi ja estävät Windowsin lataaminen vikasietotilassa, joten todennäköisesti et onnistu, mutta jos kuvaa ei ole, yritä. Virukset ovat erilaisia ​​ja voivat toimia kaikille eri tavoilla, mutta periaate on sama.

Käynnistä tietokone uudelleen. Käynnistyksen aikana sinun on painettava F8-näppäintä, kunnes valikko tulee näkyviin lisävaihtoehtoja Windowsin käynnistys. Meidän on käytettävä alas osoittavia nuolia valitaksemme luettelosta kohteen nimeltä "Vikasietotila komentorivin tuella".

Tässä meidän on mentävä ja valittava haluamasi rivi:

Seuraavaksi, jos kaikki menee hyvin, tietokone käynnistyy ja näemme työpöydän. Hienoa! Mutta tämä ei tarkoita, että kaikki toimii nyt. Jos et poista virusta ja käynnistä vain uudelleen normaali tila, niin banneri ponnahtaa taas esiin!

Meitä hoidetaan Windowsilla

Sinun on palautettava järjestelmä, kun estobanneria ei vielä ollut olemassa. Lue artikkeli huolellisesti ja tee kaikki, mitä siellä on kirjoitettu. Artikkelin alla on video.

Jos se ei auta, paina "Win + R" -painikkeita ja kirjoita komento ikkunaan avataksesi rekisterieditorin:

regedit

Jos työpöydän sijaan käynnistetään musta komentorivi, kirjoita komento "regedit" ja paina "Enter". Meidän on tarkistettava joidenkin rekisteriosien läsnäolo virusohjelmat, tai tarkemmin sanottuna haitallinen koodi. Aloita tämä toiminto siirtymällä tähän polkuun:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

Nyt tarkistamme seuraavat arvot järjestyksessä:

• Shell - "explorer.exe" on kirjoitettava tähän, muita vaihtoehtoja ei pitäisi olla
• Userinit – tässä tekstin tulee olla "C:\Windows\system32\userinit.exe",

Jos käyttöjärjestelmä on asennettu eri asemaan kuin C:, siellä oleva kirjain on erilainen. Muuttaakseen vääriä arvoja, napsauta hiiren kakkospainikkeella riviä, jota haluat muokata, ja valitse "muokkaa":

Sitten tarkistamme:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Tässä ei pitäisi olla Shell- ja Userinit-avaimia, jos niitä on, poista ne.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Ja muista myös:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Jos et ole varma, onko avain poistettava, voit lisätä ensin parametriin "1". Polku on väärä, eikä ohjelma yksinkertaisesti käynnisty. Sitten voit palauttaa sen ennalleen.

Nyt sinun on suoritettava sisäänrakennettu järjestelmän puhdistusapuohjelma, teemme sen samalla tavalla kuin käynnistimme "regedit"-rekisterieditorin, mutta kirjoitamme:

cleanmgr

Valitse käyttöjärjestelmällä varustettu asema (C: oletusarvoisesti) ja tarkista tarkistuksen jälkeen kaikki ruudut paitsi "Päivitä paketin varmuuskopiotiedostot".

Ja napsauta "OK". Tällä toiminnolla olemme saattaneet poistaa viruksen automaattisen käynnistyksen käytöstä, ja sitten meidän on siivottava jälkiä sen läsnäolosta järjestelmässä. Lue tästä artikkelin lopusta.

AVZ-apuohjelma

Ajatuksena on, että vikasietotilassa käynnistämme tunnetun virustorjunnan AVZ-apuohjelma. Virustarkistuksen lisäksi ohjelmassa on vain paljon toimintoja järjestelmäongelmien korjaamiseen. Tämä menetelmä toistaa vaiheet järjestelmän aukkojen sulkemiseksi viruksen toimimisen jälkeen, mukaan lukien. Tutustuaksesi siihen, siirry seuraavaan kohtaan.

Ongelmien korjaaminen kiristysohjelmien poistamisen jälkeen

Onnittelut! Jos luet tätä, se tarkoittaa, että järjestelmä käynnistyi ilman banneria. Nyt heidän on tarkistettava koko järjestelmä. Jos käytit Kaspersky-pelastuslevyä ja valitsit sen, voit ohittaa tämän kohdan.

Pahiksen toimintaan voi liittyä myös yksi ongelma - virus voi salata tiedostosi. Ja vaikka poistaisit sen kokonaan, et yksinkertaisesti voi käyttää tiedostojasi. Niiden salauksen purkamiseksi sinun on käytettävä Kasperskyn verkkosivuston ohjelmia: XoristDecryptor ja RectorDecryptor. Siellä on myös käyttöohjeet.

Mutta ei siinä vielä kaikki, koska... Winlocker on todennäköisesti tehnyt likaisen tempun järjestelmässä, ja erilaisia ​​​​häiriöitä ja ongelmia havaitaan. Esimerkiksi rekisterieditori ja Task Manager eivät käynnisty. Käyttämämme järjestelmän käsittelyyn AVZ ohjelma.

Kun käynnistetään osoitteesta käyttämällä Googlea Chromessa voi olla ongelma, koska... Tämä selain pitää ohjelmaa haitallisena eikä salli sen lataamista! Tämä kysymys on jo esitetty virallisella Google-foorumilla, ja tätä artikkelia kirjoitettaessa kaikki se on jo normaalia.

Jos haluat silti ladata arkiston ohjelman kanssa, sinun on siirryttävä kohtaan "Lataukset" ja napsauttamalla "Lataa". haitallinen tiedosto"Kyllä, ymmärrän, että se näyttää hieman tyhmältä, mutta ilmeisesti Chrome ajattelee, että ohjelma voi aiheuttaa haittaa keskimääräiselle käyttäjälle. Ja tämä on totta, jos työnnät sen mihin tahansa! Noudatamme siis tarkasti ohjeita!

Puramme arkiston ohjelman kanssa, kirjoitamme siihen ulkoinen media ja suorita se tartunnan saaneessa tietokoneessa. Mennään valikkoon "Tiedosto -> Järjestelmän palautus", valitse ruudut kuvan mukaisesti ja suorita toiminnot:

Nyt mennään seuraavaa tietä: "Tiedosto -> Ohjattu vianetsintätoiminto", siirry sitten kohtaan "Järjestelmäongelmat -> Kaikki ongelmat" ja napsauta "Käynnistä" -painiketta. Ohjelma tarkistaa järjestelmän ja valitse näkyviin tulevassa ikkunassa kaikki valintaruudut paitsi "Poista käyttöjärjestelmän päivitykset käytöstä automaattinen tila” ja ne, jotka alkavat lauseella ”Automaattinen käynnistys sallitaan...”.

Napsauta "Korjaa havaitut ongelmat" -painiketta. Menestyneen suorittamisen jälkeen osoitteeseen: "Selainasetukset ja säädöt -> Kaikki ongelmat", tässä valitsemme kaikki ruudut ja napsautamme "Korjaa havaitut ongelmat" -painiketta samalla tavalla.

Teemme samoin "Tietosuojan" kanssa, mutta älä valitse tässä valintaruutuja, jotka vastaavat kirjanmerkkien poistamisesta selaimista ja kaikesta muusta, jonka pidät tarpeellisena. Suoritamme tarkistuksen osioissa "Järjestelmän puhdistus" ja "Mainosohjelmien / työkalupalkin / selaimen kaappaajan poistaminen".

Sulje lopuksi ikkuna poistumatta AVZ:stä. Ohjelmasta löydämme "Työkalut -> Explorer Extension Editor" ja poista niiden kohteiden valinnat, jotka on merkitty mustalla. Siirrytään nyt aiheeseen: "Palvelu -> Laajennusten hallinta Internet Explorer» ja poista kokonaan kaikki rivit näkyviin tulevasta ikkunasta.

Sanoin jo edellä, että tämä artikkelin osa on myös yksi tavoista Windows hoito ransomware-bannerista. Joten tässä tapauksessa sinun on ladattava ohjelma työtietokoneellesi ja kirjoitettava se sitten muistitikulle tai levylle. Suoritamme kaikki toimet turvallisessa tilassa. Mutta on toinenkin vaihtoehto suorittaa AVZ, vaikka vikasietotila ei toimisi. Sinun on aloitettava samasta valikosta, kun järjestelmä käynnistyy, "Tietokoneen vianmääritys" -tilassa

Jos olet asentanut sen, se näkyy valikon yläosassa. Jos sitä ei ole, yritä käynnistää Windows, kunnes banneri tulee näkyviin, ja irrota tietokone. Kytke se sitten päälle - sitä voidaan tarjota uusi tila käynnistää.

Toimii Windowsin asennuslevyltä

Toinen varma tapa on käynnistää mistä tahansa asennuslevy Windows 7-10 ja valitse siellä ei "Asenna", vaan "Järjestelmän palautus". Kun vianmääritys on käynnissä:

• Sinun on valittava siellä "Komentokehote".
• Kirjoita näkyviin tulevaan mustaan ​​ikkunaan: "muistilehtiö", ts. käynnistää tavallinen muistilehtiö. Käytämme sitä minijohtimena
• Mene valikkoon "Tiedosto -> Avaa", valitse tiedostotyyppi "Kaikki tiedostot".
• Seuraavaksi löydämme kansion, jossa on AVZ-ohjelma, napsauta hiiren kakkospainikkeella käynnistettävää tiedostoa "avz.exe" ja käynnistä apuohjelma "Avaa"-valikkokohdalla (ei "Valitse" -kohdalla!).

Jos kaikki muu epäonnistuu

Viittaa tapauksiin, joissa et jostain syystä voi käynnistyä muistitikulta, jossa on tallennettu Kaspersky-kuva tai AVZ-ohjelma. Sinun tarvitsee vain poistaa kiintolevy tietokoneesta ja liittää se toisena asemana työtietokoneeseesi. Käynnistä sitten TARTUTTAMATTA kiintolevyltä ja skannaa asemasi Kaspersky-skannerilla.

Älä koskaan lähetä tekstiviestejä, joita huijarit pyytävät. Olipa teksti mikä tahansa, älä lähetä viestejä! Yritä välttää epäilyttäviä sivustoja ja tiedostoja ja lue yleensä. Noudata ohjeita, niin tietokoneesi on turvassa. Ja älä unohda virustorjuntaa ja säännöllinen päivitys käyttöjärjestelmä!

Tässä on video, jossa voit nähdä kaiken esimerkin avulla. Soittolista koostuu kolmesta oppitunnista:

PS: mikä menetelmä auttoi sinua? Kirjoita siitä alla oleviin kommentteihin.

Pyydän mahdollista osallistumista ongelmaani. Kysymykseni on tämä: Kuinka poistaa banneri: "Send SMS", käyttöjärjestelmä Windows 7. Muuten, toinen järjestelmä on minun Windows-tietokone XP esti myös bannerin kuukausi sitten, olen niin onneton käyttäjä. En pääse vikasietotilaan, mutta onnistuin siirtymään Computer Troubleshooting -ohjelmaan ja suorittamaan sieltä System Restore -ohjelman ja virhe ilmestyi - Tämän tietokoneen järjestelmälevyllä ei ole palautuspisteitä.

Avauskoodia ei löytynyt Dr.Web-sivustolta eikä ESETistä. Äskettäin onnistuin poistamaan tällaisen bannerin ystävältäni palautuslevyn avulla LiveCD-järjestelmät ESET NOD32, mutta minun tapauksessani se ei auta. Kokeilin myös Dr.Web LiveCD:tä. Laitoin kelloa BIOSissa vuodella eteenpäin, banneri ei hävinnyt. Useilla Internetin foorumeilla on suositeltavaa korjata UserInit- ja Shell-parametrit rekisteriavaimessa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Mutta miten pääsen sinne? KANSSA käyttämällä LiveCD:tä? Melkein kaikki Live-CD:tälä muodosta yhteyttä käyttöjärjestelmä ja sellaiset toiminnot kuten rekisterin muokkaaminen, käynnistysobjektien katselu sekä tapahtumalokien katselu tällaiselta levyltä eivät ole käytettävissä tai olenko väärässä.

Yleisesti ottaen Internetissä on tietoa bannerin poistamisesta, mutta enimmäkseen se ei ole täydellinen ja minusta näyttää siltä, ​​​​että monet ihmiset kopioivat nämä tiedot jonnekin ja julkaisevat sen verkkosivuillaan, jotta se on vain siellä, mutta kysy miten se kaikki toimii, he kohauttavat olkapäitään. Mielestäni tämä ei ole sinun tapauksesi, mutta yleensä haluan todella löytää ja poistaa viruksen itse, olen kyllästynyt järjestelmän uudelleenasentamiseen. Ja viimeinen kysymys - onko ransomware-bannerien poistamismenetelmissä perustavanlaatuista eroa Windows XP- ja Windows 7 -käyttöjärjestelmissä. Sergei.

Kuinka poistaa banneri

On olemassa useita tapoja auttaa sinua pääsemään eroon viruksesta, sitä kutsutaan myös nimellä Trojan.Winlock, mutta jos olet aloittelija, kaikki nämä menetelmät vaativat sinulta kärsivällisyyttä, kestävyyttä ja ymmärrystä, että olet kohdannut vakavan vihollisen , jos et pelkää, aloitetaan.

• Artikkeli osoittautui pitkäksi, mutta kaikki sanottu toimii todella kuin leikkaussalissa Windows-järjestelmä 7, ja Windows XP:ssä, jos jossain on eroa, huomautan ehdottomasti tämän kohdan. Tärkeintä on tietää poista banneri ja saada käyttöjärjestelmä takaisin nopeasti, se ei aina toimi, mutta on turhaa laittaa rahaa kiristäjän tilille, et saa mitään avauskoodia takaisin, joten on kannustin taistella järjestelmäsi puolesta.
• Ystävät, tässä artikkelissa työskentelemme ympäristön kanssa Windowsin palautus 7, tai tarkemmin sanottuna palautusympäristön komentorivillä. Annan sinulle tarvittavat komennot, mutta jos sinun on vaikea muistaa niitä, voit. Tämä tekee työstäsi paljon helpompaa.

Aloitetaan yksinkertaisimmasta ja lopetetaan monimutkaiseen. Bannerin poistaminen vikasietotilassa. Jos Internet-surffailusi päättyy epäonnistumaan ja asetat itsesi vahingossa haitallinen koodi, sinun on aloitettava yksinkertaisimmasta - yritä siirtyä vikasietotilaan (valitettavasti useimmissa tapauksissa et voi tehdä tätä, mutta se kannattaa yrittää), mutta Pääset varmasti sisään(enemmän mahdollisuuksia), sinun on tehtävä sama asia molemmissa tiloissa, katsotaanpa molempia vaihtoehtoja.

Tietokoneen lataamisen alkuvaiheessa paina F-8 ja valitse sitten, jos onnistut kirjautumaan sisään, voit sanoa, että olet erittäin onnekas ja tehtävä on sinulle yksinkertaistettu. Ensimmäinen asia, joka sinun on yritettävä, on palauttaa jonkin aikaa palautuspisteiden avulla. Niille, jotka eivät osaa käyttää järjestelmän palautusta, lue yksityiskohtaisesti täältä -. Jos järjestelmän palautus ei toimi, kokeile jotain muuta.

Kirjoita Suorita-riville msconfig,

Kansiossa ei myöskään pitäisi olla mitään. Vai sijaitseeko se osoitteessa

C:\Käyttäjät\Käyttäjänimi\AppData\Roaming\Microsoft\Windows\Käynnistysvalikko\Ohjelmat\Käynnistys.

Tärkeä huomautus: Ystävät, tässä artikkelissa joudut käsittelemään pääasiassa kansioita, joissa on Hidden-attribuutti (esimerkiksi AppData jne.), joten heti kun pääset Vikasietotila tai Vikasietotila komentorivin tuella, kytke se heti päälle järjestelmässä näyttää piilotetut tiedostot ja kansiot, muuten vaaditut kansiot, jossa virus piileskelee, et yksinkertaisesti näe. Se on erittäin helppo tehdä.

Windows XP
Avaa mikä tahansa kansio ja napsauta "Työkalut" -valikkoa, valitse "Kansion asetukset" ja siirry sitten "Näytä" -välilehteen, valitse alareunasta "" ja napsauta OK

Windows 7
Aloita -> Ohjauspaneeli->Näytä: Luokka -Pienet kuvakkeet ->Kansion asetukset ->Näytä. Valitse alareunasta ruutu " Näytä piilotetut tiedostot ja kansiot».

Palataanpa siis artikkeliin. Katsotaanpa kansiota, siinä ei pitäisi olla mitään.

Varmista, että aseman juuressa (C:) ei ole tuntemattomia tai epäilyttäviä kansioita ja tiedostoja, esimerkiksi niin käsittämättömällä nimellä OYSQFGVXZ.exe, jos sellaisia ​​on, sinun on poistettava ne.

Nyt huomio: Windows XP:ssä poistamme epäilyttävät tiedostot (esimerkki näkyy yllä kuvakaappauksessa), joissa on outoja nimiä ja

.exe-tunnisteella kansioista

C:\
C:\Documents and Settings\Username\Application Data
C:\Dokumentit ja asetukset\Käyttäjänimi\Paikalliset asetukset
C:\Dokumentit ja asetukset\Käyttäjänimi\Paikalliset asetukset\Temp- poista kaikki täältä, tämä on väliaikaistiedostojen kansio.

Windows 7:ssä on hyvä taso turvallisuutta ja useimmissa tapauksissa ei salli sinun tehdä muutoksia rekisteriin haittaohjelma ja suurin osa viruksista pyrkii myös pääsemään väliaikaisten tiedostojen hakemistoon:
C:\KÄYTTÄJÄT\käyttäjänimi\AppData\Local\Temp, täältä voit suorittaa suoritettavan tiedosto.exe-tiedoston. Esimerkiksi tuon saastuneen tietokoneen, kuvakaappauksessa näemme virustiedoston 24kkk290347.exe ja toisen järjestelmän luoman tiedostoryhmän lähes samanaikaisesti viruksen kanssa.

Niissä ei pitäisi olla mitään epäilyttävää, jos on, poistamme ne.

Ja muista myös:

Useimmissa tapauksissa yllä olevat vaiheet poistavat bannerin ja antavat järjestelmän käynnistyä normaalisti. Normaalin käynnistyksen jälkeen skannaa koko tietokoneesi ilmaiseksi virustorjuntaohjelma Kanssa uusimmat päivitykset- Dr.Web CureIt, lataa se Dr.Web-verkkosivustolta.

• Huomautus: Normaalisti käynnistyneen järjestelmän voi välittömästi tartuttaa viruksella siirtymällä verkkoon, koska selain avaa kaikki äskettäin vierailemiesi sivustojen sivut, joiden joukossa on luonnollisesti virussivusto ja virustiedosto voi myös olla olemassa. selaimen väliaikaisissa kansioissa. Löydämme ja joita käytit äskettäin osoitteessa: C:\Käyttäjät\Käyttäjänimi\AppData\Roaming\Selainnimi, (esimerkiksi Opera tai Mozilla) ja vielä yhdessä paikassa C:\Käyttäjät\Käyttäjänimi\AppData\Local\Selainnimi, jossa (C:) on osio, jossa on asennettu käyttöjärjestelmä. Tietysti jälkeen tästä toiminnasta Kaikki kirjanmerkkisi katoavat, mutta tartunnan saamisen riski pienenee huomattavasti.

Vikasietotila komentorivin tuella.

Jos bannerisi on edelleen elossa kaiken tämän jälkeen, älä anna periksi ja lue eteenpäin. Tai ainakin mene artikkelin keskelle ja lue täydelliset tiedot rekisteriasetusten korjaamisesta, jos banner-lunnasohjelma saa tartunnan.

Mitä minun pitäisi tehdä, jos en pääse vikasietotilaan? Kokeile sitä Vikasietotila komentorivin tuella, siellä teemme saman, mutta eroa on V Windowsin komennot XP ja Windows 7.

Käytä järjestelmän palautusta.
Kirjoita Windows 7:ssä rstrui.exe ja paina Enter - pääsemme Järjestelmän palautus -ikkunaan.

Tai yritä kirjoittaa komento: explorer - latautuu jotain kuten työpöytä, jossa voit avata tietokoneeni ja tehdä kaiken samalla tavalla kuin vikasietotilassa - tarkista tietokoneesi virusten varalta, katso käynnistyskansiota ja aseman juurta (C :), sekä hakemiston väliaikaiset tiedostot: muokkaa rekisteriä tarpeen mukaan ja niin edelleen.

Pääset Windows XP -järjestelmän palauttamiseen kirjoittamalla komentoriville - %systemroot%\system32\restore\rstrui.exe,

Päästäksemme Windows XP:hen Resurssienhallinnassa ja Oma tietokone -ikkunassa, kuten seitsemän, kirjoitamme komennon explorer.

tähän sinun on ensin kirjoitettava komento explorer ja sinut viedään suoraan työpöydälle. Monet ihmiset eivät voi vaihtaa oletusarvoista venäläistä näppäimistöasettelua englanniksi komentorivillä käyttämällä alt-shift-yhdistelmää ja kokeile sitten shift-alt toisinpäin.

Siirry jo täällä Käynnistä-valikkoon ja sitten Suorita.

valitse sitten Käynnistys - poista kaikki siitä, tee sitten kaikki mitä teit aseman juuressa (C:), poista virus väliaikaistiedostojen hakemistosta: C:\USERS\käyttäjänimi\AppData\Local\Temp, muokkaa rekisteriä tarpeen mukaan ( kaikki on kuvattu yllä yksityiskohtineen).

Järjestelmän palautus. Asiat ovat meille hieman erilaiset, jos et pääse vikasietotilaan ja vikasietotilaan komentorivin tuella. Tarkoittaako tämä, että sinä ja minä emme voi käyttää järjestelmän palauttamista? Ei, tämä ei tarkoita, että voit palauttaa palautuspisteitä, vaikka käyttöjärjestelmäsi ei käynnistyisi missään tilassa. Windows 7:ssä sinun on käytettävä palautusympäristöä tietokoneen käynnistyksen alussa, paina F-8 ja valitse valikosta Tietokoneen vianmääritys,

Valitse Palautusasetukset-ikkunassa uudelleen Järjestelmän palauttaminen.

Nyt kiinnitä huomiota, jos painat F-8-valikkoa Vianetsintä ei ole saatavilla, se tarkoittaa, että Windows 7 -palautusympäristön sisältävät tiedostot ovat vahingoittuneet.

• Onko mahdollista tulla toimeen ilman Live CD:tä? Periaatteessa kyllä, lue artikkeli loppuun.

Mietitään nyt, mitä teemme, jos emme voi käynnistää Järjestelmän palauttamista millään tavalla tai se on kokonaan poistettu käytöstä. Katsotaan ensin, kuinka banneri poistetaan lukituksen avauskoodilla, jonka ystävällisesti tarjoavat virustorjuntaohjelmistoja kehittävät yritykset - Dr.Web sekä ESET NOD32 ja Kaspersky Lab, tässä tapauksessa tarvitset apua ystäviä. On välttämätöntä, että yksi heistä menee avauspalveluun, esimerkiksi Dr.Web

https://www.drweb.com/xperf/unlocker/

http://www.esetnod32.ru/.support/winlock/

sekä Kaspersky Lab

http://sms.kaspersky.ru/ ja kirjoitit tähän kenttään puhelinnumeron, johon sinun on siirrettävä rahaa tietokoneen lukituksen avaamiseksi, ja napsautettiin painiketta - Etsi koodeja. Jos löydät avauskoodin, kirjoita se banneri-ikkunaan ja napsauta Aktivointi tai mitä tahansa siinä lukee, bannerin pitäisi kadota.

Toinen yksinkertainen tapa poistaa banneri on käyttää palautuslevyä tai kuten niitä kutsutaan myös pelastuksiksi kohteesta ja. Koko prosessi lataamisesta, kuvan polttamisesta tyhjä cd ja tarkistamalla tietokoneesi virusten varalta, jotka on kuvattu yksityiskohtaisesti artikkeleissamme, voit seurata linkkejä, emme käsittele tätä. Muuten, virustorjuntayritysten tiedoista olevat pelastuslevyt eivät ole ollenkaan huonoja, niitä voidaan käyttää LiveCD-levyjen tavoin - suorittaa erilaisia ​​tiedostotoimintoja, esimerkiksi kopioida henkilökohtaisia ​​tietoja tartunnan saaneesta järjestelmästä tai ajaa parantavaa apuohjelmaa Dr.Webistä. - Dr.Web CureIt - muistitikulta. Ja ESET NOD32 -pelastuslevyssä on ihmeellinen asia, joka on auttanut minua useammin kuin kerran - Userinit_fix, joka korjaa tärkeät rekisteriasetukset bannerin saastuttamassa tietokoneessa - Userinit, haarat HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon .

Kuinka korjata tämä kaikki manuaalisesti, lue.
No, ystäväni, jos joku muu lukee artikkelia edelleen, olen erittäin iloinen puolestasi, nyt alkaa hauskuus, jos onnistut oppimaan ja vielä enemmän hakemaan tämä tieto käytännössä monia tavallisia ihmisiä Ihmiset, jotka vapautat ransomware-bannerista, pitävät sinua todellisena hakkerina.

Älkäämme pettäkö itseämme, henkilökohtaisesti kaikki edellä kuvattu auttoi minua tasan puolessa tapauksista, joissa tietokoneeni esti estävä virus - Trojan.Winlock. Toinen puoli vaatii asian huolellisempaa pohdintaa, minkä me teemme.
Itse asiassa estämällä käyttöjärjestelmäsi, se on edelleen Windows 7 tai Windows XP, virus tekee muutokset rekisteriin sekä väliaikaisia ​​tiedostoja sisältäviin Temp-kansioihin ja C:\Windows->system32-kansioon. Meidän on korjattava nämä muutokset. Älä unohda Käynnistä->Kaikki ohjelmat->Käynnistys-kansiota. Nyt tästä kaikesta yksityiskohtaisesti.

• Varaa aikaa, ystävät, ensin kuvailen missä tarkalleen mikä korjattava sijaitsee, ja sitten näytän kuinka ja millä työkaluilla.

Windows 7:ssä ja Windows XP:ssä ransomware-banneri vaikuttaa samoihin UserInit- ja Shell-parametreihin haaran rekisterissä

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Ihannetapauksessa niiden pitäisi olla seuraavat:
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Tarkista kaikki kirjaimella, joskus törmäät käyttäjätunnuksen sijaan, esimerkiksi usernit tai userlnlt.
Sinun on myös tarkistettava rekisteriavaimen AppInit_DLLs-parametri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, jos löydät sieltä jotain, esimerkiksi C:\WINDOWS\SISTEM32\uvf.dll, kaikki tämä on poistettava.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, niissä ei pitäisi olla mitään epäilyttävää.

Ja muista myös:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (täytyy olla tyhjä) ja yleensäkään tässä ei pitäisi olla mitään tarpeetonta. ParseAutoexec on oltava yhtä suuri kuin 1 .

Sinun on myös poistettava KAIKKI väliaikaisista kansioista (tästä aiheesta on myös artikkeli), mutta Windows 7:ssä ja Windows XP:ssä ne sijaitsevat hieman eri tavalla:

Windows 7:
C:\Käyttäjät\Käyttäjänimi\AppData\Local\Temp. Varsinkin virukset asettuvat tänne mielellään.
C:\Windows\Temp
C:\Windows\
Windows XP:
Lähde:\Dokumentit ja asetukset\Käyttäjäprofiili\Paikalliset asetukset\Temp
Lähde:\Documents and Settings\User Profile\Local Settings\Temporary Internet Files.
C:\Windows\Temp
C:\Windows\Prefetch
Ei ole tarpeetonta katsoa molemmissa järjestelmissä kansiota C:\Windows->system32, kaikki tiedostot, jotka päättyvät .exe- ja dll-tiedostoihin ja joiden päivämäärä on banneri tartunnan saaneena päivänä. Nämä tiedostot on poistettava.

Katso nyt, kuinka aloittelija ja sitten kokenut käyttäjä tekevät kaiken tämän. Aloitetaan Windows 7:stä ja siirrytään sitten XP:hen.

Kuinka poistaa banneri Windows 7:ssä, jos järjestelmän palautus oli poistettu käytöstä?

Kuvitellaanpa pahin skenaario. Kiristysohjelmabanneri estää kirjautumisen Windows 7:ään. Järjestelmän palautus on poistettu käytöstä. Helpoin tapa on kirjautua sisään Windows 7:ään käyttämällä yksinkertainen levy palautus (voit tehdä sen suoraan Windows 7 -käyttöjärjestelmässä - kuvattu yksityiskohtaisesti artikkelissamme), voit myös käyttää yksinkertaista asennusta Windows-levy 7 tai mikä tahansa yksinkertainen LiveCD. Käynnistä palautusympäristö, valitse Järjestelmän palauttaminen ja valitse sitten komentorivi

ja kirjoita siihen -notepad, siirry Muistioon, sitten Tiedosto ja Avaa.

Siirrymme todelliseen Exploreriin, napsauta Oma tietokone.

Siirrymme kansioon C:\Windows\System32\Config, tässä ilmoitamme tiedostotyypin - Kaikki tiedostot ja näemme rekisteritiedostomme, näemme myös RegBack-kansion,

siinä 10 päivän välein Task Scheduler tekee varmuuskopion rekisteriavaimista - vaikka järjestelmän palauttaminen olisi poistettu käytöstä. Tässä voit poistaa OHJELMISTO-tiedoston C:\Windows\System32\Config-kansiosta, joka on vastuussa HKEY_LOCAL_MACHINE\SOFTWARE-rekisterirakenteesta. Useimmiten virus tekee muutokset täällä.

Ja sen tilalle kopioi ja liitä tiedosto, jolla on sama nimi SOFTWARE RegBack-kansion varmuuskopiosta.

Useimmissa tapauksissa tämä riittää, mutta voit halutessasi korvata kaikki viisi rekisterirakennetta Config-kansion RegBack-kansiosta: SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM.

Seuraavaksi teemme kaikki kuten yllä kirjoitettu - poista tiedostot väliaikaisista väliaikaisista kansioista, etsi C:\Windows->system32-kansiosta tiedostot, joiden tunniste on .exe ja dll ja joiden päivämäärä on tartuntapäivä, ja tietysti katsomme. Käynnistys-kansion sisällöstä.

Windows 7:ssä se sijaitsee:

C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Windows XP:

C:\Documents and Settings\All Users\Main Menu\Programs\Startup.

• Kuinka tehdä sama asia kokeneita käyttäjiä, käyttävätkö he mielestäsi yksinkertaista LiveCD-levyä tai Windows 7 -palautuslevyä? Kaukana ystävistä, he käyttävät hyvin ammattimainen työkalu - Microsoft Diagnostic and Recovery Toolset (DaRT) -versio: 6.5 Windows 7:lle- Tämä on ammattimainen kokoonpano levyllä sijaitsevista apuohjelmista, joita järjestelmänvalvojat tarvitsevat nopea toipuminen tärkeitä parametreja käyttöjärjestelmä. Jos olet kiinnostunut tämä työkalu, lue artikkelimme.

Muuten, se voi yhdistää täydellisesti Windows 7 -käyttöjärjestelmääsi käynnistämällä tietokoneen levyltä Microsoftin palautus(DaRT), voit muokata rekisteriä, määrittää salasanoja uudelleen, poistaa ja kopioida tiedostoja, käyttää järjestelmän palautusta ja paljon muuta. Epäilemättä jokaisessa LiveCD:ssä ei ole tällaisia ​​toimintoja.
Käynnistämme tietokoneemme tältä, kuten sitä myös kutsutaan, Microsoft-palautuslevyltä (DaRT), alustamme verkkoyhteyden tausta, jos emme tarvitse Internetiä, kieltäydymme.

Määritä asemakirjaimet samalla tavalla kuin kohdejärjestelmässä - sanomme Kyllä, on mukavampaa työskennellä tällä tavalla.

En kuvaile kaikkia työkaluja, koska tämä on suuren artikkelin aihe ja valmistelen sitä.
Otetaan ensimmäinen työkalu Rekisterieditori työkalu, jonka avulla voit työskennellä yhdistetyn Windows 7 -käyttöjärjestelmän rekisterin kanssa.

Siirrymme HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon-haaran Winlogon-parametriin ja muokkaamme tiedostoja manuaalisesti - Userinit ja Shell. Tiedät jo, mikä niiden merkitys pitäisi olla.

Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Meidän tapauksessamme meidän on tyhjennettävä kaikki väliaikaiset Temp-kansiot, joista tiedät jo artikkelin keskeltä, kuinka monta niitä on ja missä ne sijaitsevat.
Mutta huomio! Koska Microsoft Diagnostic and Recovery Toolset on täysin yhdistetty käyttöjärjestelmääsi, et voi poistaa esimerkiksi rekisteritiedostoja -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, koska ne ovat käynnissä, ja tee muutoksia.

Bannerin poistaminen Windows XP:ssä

Jälleen, pointti on työkalussa, suosittelen käyttämään ERD Commander 5.0:aa (linkki yllä olevaan artikkeliin), kuten sanoin artikkelin alussa, se on erityisesti suunniteltu ratkaisemaan samanlaisia ​​ongelmia Windows XP:ssä. ERD Commander 5.0:n avulla voit muodostaa suoran yhteyden käyttöjärjestelmään ja tehdä kaiken, mitä teimme Microsoftin avulla Diagnostiikka- ja palautustyökalut Windows 7:ssä.
Käynnistämme tietokoneemme palautuslevyltä. Valitsemme ensimmäisen vaihtoehdon - yhteyden muodostaminen tartunnan saaneeseen käyttöjärjestelmään.

Valitse rekisteri.

Tarkastelemme UserInit- ja Shell-parametreja HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon-haarassa. Kuten edellä sanoin, niillä pitäisi olla tämä merkitys.
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Katso myös HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs - sen pitäisi olla tyhjä.

Siirry seuraavaksi Exploreriin ja poista kaikki väliaikaisista Temp-kansioista.
Kuinka muuten voit poistaa bannerin Windows XP:ssä ERD Commanderin avulla (muuten, tätä menetelmää voidaan soveltaa kaikkiin Live CD-levyihin). Voit yrittää tehdä tämän jopa ilman yhteyttä käyttöjärjestelmään. Lataa ERD Commander ja työskentele ilman yhteyttä Windows XP:hen,

tässä tilassa sinä ja minä voimme poistaa ja korvata rekisteritiedostoja, koska ne eivät ole mukana työhön. Valitse Explorer.

Windows XP -käyttöjärjestelmän rekisteritiedostot sijaitsevat C:\Windows\System32\Config-kansiossa. A varmuuskopiot Windows XP:n asennuksen aikana luodut rekisteritiedostot sijaitsevat korjauskansiossa, joka sijaitsee osoitteessa C:\Windows\repair.

Teemme samoin, kopioi OHJELMISTO-tiedosto ensin,

ja sitten voit tehdä loput rekisteritiedostot - SAM, SECURITY, DEFAULT, SYSTEM vuorotellen korjauskansiosta ja korvata ne samoilla tiedostoilla C:\Windows\System32\Config-kansiossa. Korvaa tiedosto? Olemme samaa mieltä - Kyllä.

Haluan sanoa, että useimmissa tapauksissa riittää yhden OHJELMISTON vaihtaminen. Kun korvaat rekisteritiedostoja korjauskansiosta, on hyvä mahdollisuus käynnistää järjestelmä, mutta suurin osa muutoksista, jotka teit sen jälkeen Windows-asennukset XP menetetään. Mieti, sopiiko tämä menetelmä sinulle. Älä unohda poistaa kaikkea tuntematonta käynnistyksestä. Periaatteessa sinun ei pitäisi poistaa MSN Messenger -asiakasta, jos tarvitset sitä.

Ja viimeinen tapa tänään päästä eroon kiristyshaittaohjelmabannerista käyttämällä ERD Commander -levyä tai mitä tahansa live-CD:tä

Jos järjestelmän palauttaminen oli käytössä Windows XP:ssä, mutta et voi ottaa sitä käyttöön, voit kokeilla tätä. Siirry C:\Windows\System32\Config-kansioon, joka sisältää rekisteritiedostot.

Avaa koko tiedoston nimi liukusäätimellä ja poista SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM. Muuten, ennen kuin poistat ne, voit kopioida ne jonnekin varmuuden vuoksi, et koskaan tiedä. Haluat ehkä toistaa sen.

Seuraavaksi siirrymme kansioon Järjestelmän äänenvoimakkuustiedot\_palautus(E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2)\RP\ tilannekuva, tähän kopioimme tiedostoja, jotka ovat varmuuskopioita rekisterihaaramme HKEY_LOCAL_MACHINE\
REGISTRY_MACHINE\SAM
REGISTRY_MACHINE\SECURITY
REGISTRY_MACHINE\SOFTWARE
REGISTRY_MACHINE\DEFAULT
REGISTRY_MACHINE\SYSTEM

Liitä ne kansioon C:\Windows\System32\Config

Sitten siirrymme Config-kansioon ja nimeämme ne uudelleen poistamalla REGISTRY_MACHINE\, jolloin jätetään uudet rekisteritiedostot SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM.

Sitten poistamme Temp- ja Prefetch-kansioiden sisällön ja poistamme kaiken Käynnistys-kansiosta yllä olevan kuvan mukaisesti. Olen iloinen, jos se auttaa jotakuta. Artikkelin lisäksi kirjoitettiin lyhyt ja mielenkiintoinen artikkeli, voit lukea sen.

Monet tietokoneiden ja kannettavien tietokoneiden omistajat ovat ainakin kerran elämässään kohdanneet mitä heidän tietokoneensa näytöllä näkyy surffailtuaan epäilyttävällä sivustolla tai ladattuaan epäilyttävä tiedosto Kiristäjätekstiviestejä alkoi ilmestyä. Niiden sisältö on järkyttävää ja joissain tilanteissa jopa yllättävää. Huijarit kirjoittavat poliisin, tiedustelupalvelujen, hakkereiden puolesta ja esittelevät itsensä maan hallitukseksi. Käyttäjä uskoo tahattomasti hyökkääjien tekstiin, koska bannerin poistaminen tietokoneelta ei ole niin helppoa, henkilö ei voi suorittaa mitään toimintoja työpöydällä tai selaimessa, kaikki on estetty.
Jos banneri ilmestyy työpöydällesi, älä huoli, sen poistaminen ei ole vaikeaa

Huijareiden tapa poistaa esto on yksinkertainen, kun he lähettävät määritetyn summan matkapuhelimeesi tai verkkolompakkoon erikoiskoodi bannerin poistamiseksi. Samalla viestissä mainittu summa on merkittävä, eikä useita satoja ruplaa voida tehdä. Asiantuntijat neuvovat olemaan lähettämättä rahaa tällaisessa tilanteessa, on parempi maksaa tietokoneasiantuntijoille, jotka voivat helposti seuloa sen. Tai voit tehdä sen itse. Nyt he tarjoavat useita vaihtoehtoja tietokoneen lukon poistamiseen. Banneri on PC:lle merkittävä ongelma, joten kannattaa tutustua sen suosittuihin ulkoasun lähteisiin. On hienoa tietää kuinka päästä eroon viruksista, mutta on parempi olla käsittelemättä niitä.

KATSO VIDEO

Mistä bannerin esto tulee?

Tuntemattomilla resursseilla tietoja katsellessa voi yhtäkkiä ilmestyä valikko, jossa käyttäjää kehotetaan päivittämään tai. Ilman sellaista ohjelmaa laadukasta työtä PC on kyseessä, joten henkilö hyväksyy valikon ehdot. Tämän seurauksena soitinohjelmaa ei ladata, vaan sen sijaan ilmestyy ransomware-banneri. Voit välttää joutumasta tällaisen ansan uhriksi lataamalla ohjelmiston vain osoitteesta viralliset portaalit kehittäjät.

Piraattiohjelmien käyttö

Virusmainonnan itseasennus

Internetistä etsiminen voi olla vaikeaa kirjoittaessa kurssityötä opiskelija lataa kymmeniä esseitä, sähköisiä versioita kirjoja ja lehtiä. Suurin osa näistä tiedostoista on arkistossa, ja käyttäjä saa viruksen abstraktin mukana tai jopa sen sijaan.

Nousee uusi tehtävä Kuinka poistaa ransomware-banneri? Huijarit tarjoavat asennuksen avatakseen pääsyn ladattuihin tietoihin erikoisohjelmisto. Asennusprosessin aikana ilmestyy lisenssisopimus (jota kukaan ei lue ja hyväksy kaikkia ehtoja), jossa on lupa mainontaan. Osoittautuu, että käyttäjä antoi itsenäisesti viruksen elää tietokoneessaan. Viruksentorjuntaohjelman tulee aina toimia ja havaita tuholaiset.

Käyttöjärjestelmän tietoturvan heikkouksia

Tuholaiset käyttävät aktiivisesti hyväkseen käyttöjärjestelmien ja selainten haavoittuvuuksia. Siksi kaikki usein käytetyt ohjelmat on päivitettävä säännöllisesti, koska bannerin ulkonäkö, josta on erittäin vaikea päästä eroon, johtuu tietokoneen omistajan itsestään. Joskus käyttäjät itse poistavat turvajärjestelmän käytöstä suorittaakseen joitain määrityksiä ja unohtavat sitten kytkeä sen päälle. Virukset löytävät heti heikkoja kohtia, eikä bannerin poistaminen tietokoneelta ole enää helppoa.

Kuinka poistaa banneri tietokoneeltasi

Voit poistaa bannerin tietokoneeltasi, tärkeintä ei ole paniikki. Ensin sinun on muistettava 4 tärkeitä sääntöjä ja noudata niitä, kun vastaava tilanne ilmenee:

1. Sinun ei pitäisi koskaan lähettää sitä rikollisille käteistä. Ensinnäkin tämä osuu taskuusi kovasti, ja toiseksi se ei todennäköisesti ratkaise ongelmaa ja avaa Windowsin lukitusta.
2. Bannerin poistamiseksi käyttöjärjestelmää ei tarvitse asentaa uudelleen tai päivittää. Jos "mestari", joka on päättänyt korjata ongelman, ei hyväksy tätä sääntöä, hän joko ei todellakaan ole mestari tai hän haluaa "myydä" kalliimman palvelun.

Bannerista eroon pääseminen ei ole monimutkaista

1. Tällaisten virusten toimintaperiaate ei eroa toisistaan, ja vaikka teksti on kirjoitettu FSB:n, SBU:n tai muiden hyvämaineisten rakenteiden puolesta, standardimenetelmät auttavat poistamaan Windows 7:n lunnasohjelmaviruksen eston.
2. Virustentorjuntaohjelma voi olla uusin ja tehokkain, mutta se ei suojaa röyhkeiltä kiristysohjelmilta. Lisäksi syyllinen estäjän esiintymiseen on henkilö itse.

Kuinka poistaa banneri tietokoneeltasi rekisterin kautta

Tärkeää! Tämä vaihtoehto ei välttämättä toimi tilanteissa, joissa virusteksti avataan ennen käyttöjärjestelmän käynnistystä (välittömästi BIOS-valikkoon siirtymisen jälkeen).

Muissa tilanteissa tämä vaihtoehto toimii ilman ongelmia. Jopa kokemattomat käyttäjät voivat selviytyä tästä tehtävästä ja pystyä poistamaan tietoja rekisteristä. Sinun tulee käydä huolellisesti läpi kaikki kohdat.

Ensin sinun on avattava Rekisterieditori-valikko. Helpoin tapa tehdä tämä on käynnistää tietokone uudelleen ja valita käynnistystapa painamalla F8-näppäintä. Sinun on käynnistettävä laite vikasietotilassa, jotta voit työskennellä komentorivillä. F8 avautuu erikoismenu Kun valitset levyt, sinun on valittava päälevy ja vahvistettava toiminto painamalla “Enter”, sitten F8 uudelleen. Näyttöön tulee ikkuna käynnistystilojen valintaa varten.

Seuraavaksi odota, kunnes konsoli-ikkuna avautuu. Kirjoita siihen arvo regedit.exe ja paina "Enter". Erikoisvalikko avautuu ja löydät viruksen Windowsin rekisteri 7. Se sisältää kaikki käyttöjärjestelmätiedot, mukaan lukien tiedot käynnistyssovelluksista, kun tietokone käynnistetään. Tästä valikosta kannattaa etsiä haitallinen banneria, joka vaatii rahaa.

Valikon vasemmalla puolella on erityisiä kansioita, niitä kutsutaan myös osioksi. Kansiot, joissa vihattu virus saattaa esiintyä, tulee tarkistaa ja, jos niitä on, ylimääräisiä tiedostoja, ne pitäisi poistaa. Mahdolliset paikat niitä on useita, ja kaikki on analysoitava.

Etsi ensin "Suorita"-kansio (se on käyttöjärjestelmän tietojen "nykyisessä versiossa"). Tässä kansiossa on käytettävissä koko luettelo sovelluksista, jotka käynnistyvät automaattisesti laitteen käynnistyessä. Näet myös polun niiden säilytyspaikkaan. Kaiken, mikä näytti käyttäjästä epäilyttävältä, pitäisi jättää automaattinen käynnistys pysyvästi.

Useimmiten tiedoston nimi koostuu käsittämättömästä joukosta aakkosmerkkejä ja numeroita: aklh25171156. Löydät tuholaisen "dokumentit ja asetukset" -kansiosta (kanssa eri nimiä alikansiot). Viruksen lähde on ms.exe-tiedosto tai muut tiedot järjestelmäkansio. Epäselvät merkinnät tulee estää ja poistaa. Napsauta tätä varten riviä hiiren kakkospainikkeella ja valitse "Poista" -vaihtoehto.

Huolet tässä menettelyssä ovat tarpeettomia - poistamista ei tarvitse pelätä tärkeitä arvoja, sinun on poistettava kaikki tuntemattomat tiedot käynnistysvalikosta, vain tällaisessa tilanteessa voit poistaa viruksen komentorivin kautta. Käynnistysvalikko sisältää apuohjelmia, joita käytetään harvoin, joten luettelon tyhjentäminen nopeuttaa myös tietokonettasi.

Muista siivoamisen yhteydessä elinympäristöt haitallisia tiedostoja, tämä auttaa jatkossa lähettämään ne roskakoriin ilman pitkiä hakuja.

Kaikki käsittelyt on toistettava muille rekisterihaareille, ja paikallisen koneen "WInLogon"-kansiossa varmistamme, että USerinit-rivi on oikea. Rekisterin komentotulkin pitäisi toimia explorer.exe-arvon mukaisesti.

Näin voit helposti poistaa SMS-bannerin ja poistaa kannettavan tietokoneen lukituksen kiristysohjelmavirukselta itse rekisterihallinnan kautta. Tämän jälkeen editori suljetaan ja komentoriville kirjoitetaan explorer.exe-teksti (työpöytä avautuu), sinun on lähetettävä tarpeettomat tiedostot, joiden sijainti on jo tiedossa, pois tietokoneen muistista. Viimeisessä vaiheessa laite käynnistyy uudelleen normaalitilassa (rekisterin kanssa työskennellessä käytettiin vikasietotilaa). Bannerien poistaminen tietokoneeltasi tällä vaihtoehdolla onnistuu lähes aina.

Neuvoja! Jos et voi valita turvallista käynnistystilaa komentorivin tuella, voit käyttää Live levy tallennetulla PP:llä (Registry Editor PE sopii) ja suorita kaikki ohjelman käsittelyt.

Bannerin poistaminen työpöydältä erityisohjelmiston avulla

Ohjelmistokehittäjät eivät myöskään ole välttäneet tätä ongelmaa ja tarjoavat erityisiä apuohjelmia poistaaksesi kiristysohjelman. Erityisesti voit poistaa bannerin käyttämällä Kaspersky Windows Unlocker. Tämä apuohjelma suorittaa tehtävän myös korjaamalla rekisterin tietoja, mutta tekee sen automaattisesti, mikä tekee tehtävästä paljon helpompaa.

Aluksi sovellus ladataan yrityksen viralliselta verkkosivustolta. Tehtävän suorittamiseen tarvitset Kasperskyn Pelastuslevy, sitten tallennusvälineen kuva kirjoitetaan tyhjälle CD-levylle (tämä tehdään "terveellä" PC:llä). Jo tallennettu tallennusväline asetetaan "tartunnan saaneeseen" tietokoneeseen, ja lataamisen jälkeen kaikki tarvittavat toimet suoritetaan ohjelman kautta.

Tällä tavalla voit poistaa bannerin Dr.Webin tai muiden tuotteiden (AVG Rescue, VBA23 Rescue jne.) avulla.

Tietokoneen lukituksen avaaminen bannerista onnistuu joskus erikoispalvelut koodisanojen valinta. Esimerkiksi sivusto sms.kaspersky.ru yrittää arvata salasanan tuholaisen poistamiseksi. Käyttäjille, joiden on vaikea työskennellä rekisterihaarojen kanssa, ohjelmat, jotka auttavat poistamaan bannerin työpöydältä, ovat täydellisiä.

Kun viesti tulee näkyviin ennen lataamista

Harvoin tapahtuu, että virus alkaa ilmestyä heti, kun käynnistät laitteen, mikä tarkoittaa, että haitallinen ohjelmisto sijaitsee pääkäynnistimessä kovaa tallennusta MBR-levy. Ransomware-bannerin poistaminen on vaikeampaa. Tällaisessa tilanteessa on mahdotonta mennä verkkoon etsimään avauskoodia tai avaamaan rekisterieditori virusten torjumiseksi, varsinkin kun vilpillinen teksti avataan eri paikasta. Erityiset live-CD:t auttavat tähän ongelmaan. Voit poistaa bannerin tietokoneeltasi seuraavasti:

• klo Windowsin avulla XP toimii käynnistysosio Voit käyttää käyttöjärjestelmän asennuslevyä. Ensin lataamme levyn, ja kun käyttöjärjestelmän palautusvalikko on käytettävissä, tämä tehdään painamalla näppäimistön R-painiketta. Näiden manipulointien jälkeen näyttö tulee näkyviin komentovalikko, johon FIXBOOT-arvo syötetään (syöttö vahvistetaan painamalla Y-painiketta). Kun kovalevy koostuu vain yhdestä osasta, niin FIXMBR-arvo auttaa.

• Poissaollessa asennuspöytäkirja tai käytät toista Microsoft-tuotetta, MBR-ongelman korjaa BOOTICE-sovellus (tai muiden yritysten vastaavat apuohjelmat, joiden avulla voit hallita kovia osia levy). Ohjelmisto on helppo löytää Internetistä, ladata se sieltä, kirjoittaa se flash-asemaan ja käynnistää PC Live CD:ltä. Seuraavaksi sovellus käynnistetään USB-asemalta.

Nyt tiedät kuinka poistaa banneri tietokoneeltasi (työpöydältä).