Wij verwijderen bannervirussen op verschillende manieren. Effectieve methoden voor het verwijderen van banner-ransomware (Winlocker)

Winlocker-trojans zijn een soort malware die, door de toegang tot het bureaublad te blokkeren, geld van de gebruiker afperst. Als hij het vereiste bedrag naar de rekening van de aanvaller overmaakt, ontvangt hij vermoedelijk een ontgrendelingscode.

Als u, zodra u uw pc aanzet, in plaats van het bureaublad het volgende ziet:

Of iets anders in dezelfde geest - met dreigende inscripties en soms met obscene afbeeldingen, haast je niet om je dierbaren van alle zonden te beschuldigen. Zij, en misschien ook jijzelf, zijn het slachtoffer geworden van de trojan.winlock-ransomware.

Hoe komen ransomwareblokkers op uw computer terecht?

Meestal komen blokkers op de volgende manieren op uw computer terecht:

via gehackte programma's, evenals tools voor het hacken van betaalde software (cracks, keygens, enz.);
gedownload via links uit berichten op sociale netwerken, zogenaamd verzonden door bekenden, maar in werkelijkheid door aanvallers vanaf gehackte pagina's;
gedownload van phishing-webbronnen die bekende sites imiteren, maar in feite specifiek zijn gemaakt voor het verspreiden van virussen;
komen per e-mail in de vorm van bijlagen bij brieven met intrigerende inhoud: “je bent aangeklaagd...”, “je bent gefotografeerd op de plaats delict”, “je hebt een miljoen gewonnen” en dergelijke.

Aandacht! Pornografische banners worden niet altijd gedownload van pornosites. Ze kunnen het doen met de meest gewone.

Een ander type ransomware wordt op dezelfde manier verspreid: browserblokkers. Bijvoorbeeld zoals dit:

Ze eisen geld voor toegang tot surfen op internet via een browser.

Hoe verwijder ik de banner “Windows geblokkeerd” en soortgelijke?

Wanneer uw bureaublad is geblokkeerd en een virusbanner verhindert dat programma's op uw computer worden uitgevoerd, kunt u het volgende doen:

ga naar de veilige modus met opdrachtregelondersteuning, start de register-editor en verwijder de autorun-sleutels van de banner.
start op vanaf een Live CD ("live" schijf), bijvoorbeeld ERD-commandant, en verwijder de banner van de computer, zowel via het register (autorun-sleutels) als via Explorer (bestanden).
scan het systeem vanaf een opstartschijf met een antivirusprogramma, bijvoorbeeld Dr.Web LiveDisk of Kaspersky Rescueschijf 10.

Methode 1. Winlocker verwijderen uit de veilige modus met console-ondersteuning.

Dus, hoe verwijder je een banner van je computer via de opdrachtregel?

Op machines met Windows XP en 7 moet u, voordat het systeem start, snel op de F8-toets drukken en het gemarkeerde item uit het menu selecteren (in Windows 8\8.1 bestaat dit menu niet, dus u zult moeten opstarten vanaf de installatie schijf en start vanaf daar de opdrachtregel).

In plaats van een bureaublad wordt er een console voor je geopend. Om de register-editor te starten, voert u de opdracht erin in regedit en druk op Enter.

Open vervolgens de register-editor, zoek daarin virusvermeldingen en repareer deze.

Meestal worden ransomware-banners geregistreerd in de volgende secties:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- hier veranderen ze de waarden van de Shell-, Userinit- en Uihost-parameters (de laatste parameter is alleen beschikbaar in Windows XP). Je moet ze naar normaal herstellen:

Shell = Explorer.exe
Userinit = C:\WINDOWS\system32\userinit.exe, (C: is de letter van de systeempartitie. Als Windows op station D staat, begint het pad naar Userinit met D:)
Uihost = LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- zie de AppInit_DLLs-parameter. Normaal gesproken kan deze ontbreken of een lege waarde hebben.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- hier creëert de ransomware een nieuwe parameter met een waarde in de vorm van het pad naar het blokkeerbestand. De parameternaam kan een reeks letters zijn, bijvoorbeeld dkfjghk. Het moet volledig worden verwijderd.

Hetzelfde in de volgende secties:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Om registersleutels te corrigeren, klikt u met de rechtermuisknop op de parameter, selecteert u “Wijzigen”, voert u een nieuwe waarde in en klikt u op OK.

Start daarna uw computer opnieuw op in de normale modus en voer een antivirusscan uit. Alle ransomwarebestanden worden van uw harde schijf verwijderd.

Methode 2. Winlocker verwijderen met ERD Commander.

ERD Commander bevat een groot aantal tools voor het herstellen van Windows, inclusief de tools die zijn beschadigd door het blokkeren van Trojaanse paarden. Met behulp van de ingebouwde register-editor ERDregedit kunt u dezelfde bewerkingen uitvoeren als hierboven beschreven.

ERD-commandant zal onmisbaar zijn als Windows in alle modi is vergrendeld. Kopieën ervan worden illegaal verspreid, maar zijn gemakkelijk te vinden op internet.

ERD-commandersets voor alle versies van Windows worden MSDaRT (Microsoft Diagnostic & Recovery Toolset) opstartschijven genoemd en zijn verkrijgbaar in ISO-indeling, wat handig is voor het branden op dvd of het overbrengen naar een flashstation.

Nadat u vanaf een dergelijke schijf bent opgestart, moet u uw versie van het systeem selecteren, naar het menu gaan en op Register-editor klikken.

In Windows XP is de procedure enigszins anders: hier moet u het Start-menu openen en Systeembeheer en Register-editor selecteren.

Nadat u het register hebt bewerkt, start u Windows opnieuw op. Hoogstwaarschijnlijk ziet u de banner 'Computer is geblokkeerd' niet.

Methode 3. De blokkering verwijderen met behulp van een antivirus-‘reddingsschijf’.

Dit is de gemakkelijkste, maar ook de langste ontgrendelingsmethode. Het is voldoende om de Dr.Web LiveDisk- of Kaspersky Rescue Disk-image op dvd te branden, ervan op te starten, te beginnen met scannen en te wachten tot het klaar is. Het virus zal worden gedood.

Het verwijderen van banners van uw computer met zowel Dr.Web- als Kaspersky-schijven is even effectief.

Hoe kunt u uw computer beschermen tegen blokkers?

Installeer een betrouwbare antivirus en houd deze te allen tijde actief.
Controleer alle bestanden die u van internet hebt gedownload op veiligheid voordat u het programma start.
Klik niet op onbekende links.
Open geen e-mailbijlagen, vooral niet de bijlagen in brieven met intrigerende tekst. Zelfs van je vrienden.
Houd bij welke sites uw kinderen bezoeken. Gebruik ouderlijk toezicht.
Gebruik indien mogelijk geen illegale software; veel betaalde programma's kunnen worden vervangen door veilige, gratis programma's.

Banier- een vorm van computerfraude die relatief recent is verschenen en waarvan de populariteit voortdurend groeit. Als u het slachtoffer bent geworden van deze banner en uw computer is vergrendeld, dan vertellen we het je in dit artikel hoe u een virus van uw bureaublad verwijdert, ontgrendelt en verwijdert zonder toevlucht te nemen tot de hulp van specialisten.

Antivirussen beschermen meestal niet tegen het bannervirus.

Hoe het virus werkt

Er wordt een programma van internet naar uw computer gedownload dat de toegang tot het systeem blokkeert en u informeert dat u een wetsovertreder bent, pornografie hebt bekeken, enz. Dit wordt gedaan om druk op uw geweten uit te oefenen en u te dwingen de aanvaller een bepaald bedrag te sturen, waarna hij u zogenaamd een ontgrendelingscode zal sturen.
De eerste versies van dit virus hadden feitelijk een ontgrendelingscode, maar het virus schakelde niet volledig uit en na een week of twee maakte het zichzelf opnieuw bekend en eiste dat het geld opnieuw zou worden verzonden. Vaak helpen geen codes en blokkeert de ransomware-banner uw systeem grondig en langdurig.
"Akhtung, wat moet ik doen?, help" - het belangrijkste is dat je niet in paniek raakt:
1. Ren in geen geval om geld te storten op de rekening aangegeven in de banner.
2. Stuur geen sms naar de opgegeven nummers.
3. Vertrouw er niet op dat uw computer zal worden geformatteerd.
4. Bij een infectie met een virus hoeft u het besturingssysteem niet opnieuw te installeren, wat ze u ook vertellen.
Anders is uw portemonnee leeg, maar blijft het probleem bestaan. De belangrijkste taak van oplichters is het intimideren van de gebruiker om winst te maken. Ik ben er zeker van dat velen al door dit aas zijn betrapt.

1. De beste manier om een virus te verwijderen is door het register te bewerken

Wees niet bang)), het is heel eenvoudig en kost niet veel tijd. Als u dit niet wilt doen, bel ons dan en wij zullen alles voor u doen (8-918-474-111-5). Laten we alles in orde doen. Om toegang te krijgen tot het register, moet u de computer opstarten in de opdrachtregelmodus. Om dit te doen, drukt u op de F8-toets wanneer u de computer aanzet en selecteert u Veilige modus met opdrachtregelondersteuning in het opstartmenu dat verschijnt.

We wachten tot de opdrachtregel is geladen, voeren regedit.exe erin in en drukken op Enter. De register-editor is geopend - hier heeft ons virus zich gevestigd, of beter gezegd, zichzelf geregistreerd. Laten we de mogelijke locaties van het virus bekijken en het uitroken.”
1. HKEY_CURRENT_USER /Software /Microsoft /Windows /CurrentVersion /Uitvoeren

hier zien we een lijst met opstartprogramma's (die samen met het besturingssysteem worden uitgevoerd), evenals hun locatie op uw pc (zodat u ze vervolgens van de schijf kunt verwijderen). Alle verdachte programma's moeten worden verwijderd (klik met de rechtermuisknop en verwijder) en onthoud het pad ernaartoe (bijvoorbeeld: grg54545.exe, bh.exe langs het pad C:/Documents and Settings/; C:/Windows/System, enz. .)
2.HKEY_LOCAL_MACHINE /Software /Microsoft /Windows /CurrentVersion /Uitvoeren- we herhalen het bovenstaande.
3. HKEY_CURRENT_USER /Software /Microsoft /Windows NT/ Huidige versie /Winlogon—

Er mogen hier geen Shell- en Userinit-parameters zijn. Als u ze vindt, kunt u ze gerust verwijderen.
4. HKEY_LOCAL_MACHINE /Software /Microsoft /WindowsNT /CurrentVersion /Winlogon- integendeel, ze moeten aanwezig zijn en overeenkomen met deze waarden
Userinit - C:Windowssysteem32userinit.exe
Shell - explorer.exe

Mocht dit niet het geval zijn, corrigeer dit dan handmatig. Is alles opgelost? Sluit nu de register-editor en voer Explorer.exe in de opdrachtregel in en druk op Enter om het bureaublad te starten. We verwijderen de bestanden waarvan we de paden hebben onthouden en starten opnieuw op. Voila! Alles zou moeten werken.

Zeker, elke vierde gebruiker van een pc is op internet met verschillende vormen van oplichting geconfronteerd. Eén vorm van misleiding is een banner die de werking van Windows blokkeert en vereist dat u een sms naar een betaald nummer stuurt of dat er cryptocurrency wordt gevraagd. In wezen is het gewoon een virus.

Om banner-ransomware te bestrijden, moet u begrijpen wat het is en hoe het uw computer binnendringt. Meestal ziet een banner er zo uit:

Maar er kunnen allerlei andere varianten zijn, maar de essentie is hetzelfde: oplichters willen geld aan je verdienen.

Manieren waarop een virus een computer binnendringt

De eerste optie voor “infectie” zijn illegale applicaties, hulpprogramma's en games. Natuurlijk zijn internetgebruikers gewend om het meeste van wat ze online willen ‘gratis’ te krijgen, maar als we illegale software, games, diverse activators en andere dingen van verdachte sites downloaden, lopen we het risico besmet te raken met virussen. In deze situatie helpt het meestal.

Windows is mogelijk geblokkeerd vanwege een gedownload bestand met de extensie " .exe" Dit betekent niet dat u moet weigeren bestanden met deze extensie te downloaden. Onthoud dat maar" .exe"is mogelijk alleen van toepassing op games en programma's. Als u een video, nummer, document of afbeelding downloadt en de naam ervan bevat “.exe” aan het einde, dan neemt de kans op het verschijnen van een ransomware-banner sterk toe tot 99,999%!

Er is ook een lastige truc waarbij het zogenaamd nodig is om de Flash player of browser bij te werken. Het kan gebeuren dat u op internet werkt, van pagina naar pagina gaat, en op een dag zult u een inscriptie tegenkomen met de tekst "uw Flash-speler is verouderd, update alstublieft." Als u op deze banner klikt en deze u niet naar de officiële website van adobe.com leidt, dan is het 100% een virus. Controleer daarom eerst voordat u op de knop ‘Bijwerken’ klikt. De beste optie zou zijn om dergelijke berichten helemaal te negeren.

Ten slotte verzwakken verouderde Windows-updates de beveiliging van uw systeem. Om uw computer beschermd te houden, probeert u op tijd updates te installeren. Deze functie kan worden geconfigureerd in “Controlepanelen -> Windows Update” naar de automatische modus om niet afgeleid te worden.

Hoe Windows 7/8/10 te ontgrendelen

Een van de eenvoudige opties om de ransomware-banner te verwijderen is. Het helpt 100%, maar het is logisch om Windows opnieuw te installeren als je geen belangrijke gegevens op schijf "C" hebt staan, waarvoor je geen tijd had om ze op te slaan. Wanneer u het systeem opnieuw installeert, worden alle bestanden van de systeemschijf verwijderd. Als u software en games niet opnieuw wilt installeren, kunt u daarom andere methoden gebruiken.

Na de behandeling en succesvolle lancering van het systeem zonder de ransomware-banner, moet u aanvullende stappen ondernemen, anders kan het virus opnieuw de kop opsteken, of zullen er eenvoudigweg enkele problemen zijn met de werking van het systeem. Dit alles staat aan het einde van het artikel. Alle informatie is door mij persoonlijk geverifieerd! Dus laten we aan de slag gaan!

Kaspersky Rescue Disk + WindowsUnlocker helpt ons!

Wij maken gebruik van een speciaal ontwikkeld besturingssysteem. De hele moeilijkheid is dat je de afbeelding op je werkcomputer moet downloaden en/of (scroll door de artikelen, hij is er).

Als dit klaar is, heb je het nodig. Op het moment van opstarten verschijnt er een klein bericht, zoals "Druk op een willekeurige toets om op te starten vanaf cd of dvd." Hier moet u op een willekeurige knop op het toetsenbord drukken, anders wordt het geïnfecteerde Windows gestart.

Druk tijdens het laden op een willekeurige knop en selecteer vervolgens de taal – “Russisch”, accepteer de licentieovereenkomst met de knop “1” en gebruik de startmodus – “Grafisch”. Na het starten van het Kaspersky-besturingssysteem letten we niet op de automatisch gestarte scanner, maar gaan we naar het menu "Start" en starten we "Terminal"

Er wordt een zwart venster geopend waarin we het commando schrijven:

vensterontgrendeling

Er wordt een klein menu geopend:

Selecteer “Windows ontgrendelen” met de knop “1”. Het programma zelf zal alles controleren en corrigeren. Nu kunt u het venster sluiten en de hele computer controleren terwijl de scanner al actief is. Zet in het venster een vinkje op de schijf met Windows OS en klik op “Objectscan uitvoeren”

We wachten tot de controle is voltooid (dit kan lang duren) en starten uiteindelijk opnieuw op.

Als je een laptop zonder muis hebt en het touchpad werkt niet, dan raad ik aan de tekstmodus van de Kaspersky-schijf te gebruiken. In dit geval moet u, na het starten van het besturingssysteem, eerst het menu sluiten dat wordt geopend met de knop "F10" en vervolgens dezelfde opdracht invoeren op de opdrachtregel: windowsunlocker

Ontgrendelen in veilige modus, zonder speciale afbeeldingen

Tegenwoordig zijn virussen zoals Winlocker slimmer geworden en voorkomen ze dat Windows in de veilige modus wordt geladen, dus hoogstwaarschijnlijk zul je niet slagen, maar als er geen afbeelding is, probeer het dan. Virussen zijn verschillend en verschillende methoden kunnen voor iedereen werken, maar het principe is hetzelfde.

Start de computer opnieuw op. Tijdens het opstarten moet u op de F8-toets drukken totdat het menu Geavanceerde opstartopties van Windows verschijnt. We moeten de pijlen naar beneden gebruiken om uit de lijst een item te selecteren met de naam "Veilige modus met opdrachtregelondersteuning".

Dit is waar we naartoe moeten gaan en de gewenste regel selecteren:

Als alles goed gaat, start de computer op en zien we het bureaublad. Geweldig! Maar dit betekent niet dat alles nu werkt. Als u het virus niet verwijdert en gewoon opnieuw opstart in de normale modus, verschijnt de banner opnieuw!

Wij worden behandeld met behulp van Windows

U moet het systeem herstellen als de blocker-banner nog niet bestond. Lees het artikel aandachtig en doe alles wat daar staat. Onder het artikel staat een video.

Als het niet helpt, druk dan op de knoppen "Win + R" en schrijf de opdracht in het venster om de register-editor te openen:

regedit

Als in plaats van het bureaublad een zwarte opdrachtregel wordt gestart, voert u eenvoudigweg de opdracht “regedit” in en drukt u op “Enter”. We moeten sommige delen van het register controleren op de aanwezigheid van virussen, of, om preciezer te zijn, kwaadaardige code. Om deze bewerking te starten, gaat u naar dit pad:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

Nu controleren we de volgende waarden in volgorde:

Shell – “explorer.exe” moet hier worden geschreven, er mogen geen andere opties zijn
Userinit – hier zou de tekst “C:\Windows\system32\userinit.exe” moeten zijn

Als het besturingssysteem op een ander station dan C: is geïnstalleerd, zal de letter daar anders zijn. Om onjuiste waarden te wijzigen, klikt u met de rechtermuisknop op de regel die u wilt bewerken en selecteert u “bewerken”:

Vervolgens controleren wij:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Er zouden hier helemaal geen Shell- en Userinit-sleutels moeten zijn; als die er wel zijn, verwijder ze dan.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

En zorg er ook voor dat:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Als u niet zeker weet of u de sleutel moet verwijderen, kunt u eenvoudigweg eerst een “1” aan de parameter toevoegen. Het pad is onjuist en het programma start eenvoudigweg niet. Dan kun je het terugbrengen naar hoe het was.

Nu moet je het ingebouwde hulpprogramma voor het opschonen van het systeem uitvoeren, we doen het op dezelfde manier als we de “regedit” register-editor lanceerden, maar we schrijven:

schoonmgr

Selecteer de schijf met het besturingssysteem (standaard C:) en vink na het scannen alle vakjes aan, behalve 'Back-upbestanden van pakket bijwerken'

En klik op “OK”. Met deze actie hebben we mogelijk de autorun van het virus uitgeschakeld, en dan moeten we sporen van zijn aanwezigheid in het systeem opruimen, en hierover lezen aan het einde van het artikel.

AVZ-hulpprogramma

Het idee is dat we in de veilige modus het bekende antivirusprogramma AVZ zullen starten. Naast het scannen op virussen heeft het programma slechts een heleboel functies voor het oplossen van systeemproblemen. Deze methode herhaalt de stappen om gaten in het systeem te dichten nadat het virus heeft gewerkt, incl. Om er kennis mee te maken, gaat u verder met het volgende punt.

Problemen oplossen na het verwijderen van ransomware

Gefeliciteerd! Als u dit leest, betekent dit dat het systeem zonder banner is gestart. Nu moeten ze het hele systeem controleren. Als u de herstelschijf van Kaspersky hebt gebruikt en daar hebt gecontroleerd, kunt u dit punt overslaan.

Er kan ook nog een probleem zijn dat verband houdt met de activiteiten van de slechterik: het virus kan uw bestanden versleutelen. En zelfs nadat u het volledig hebt verwijderd, kunt u uw bestanden eenvoudigweg niet meer gebruiken. Om ze te decoderen moet je programma's van de Kaspersky-website gebruiken: XoristDecryptor en RectorDecryptor. Daar staan ook gebruiksaanwijzingen bij.

Maar dat is nog niet alles, want... Winlocker heeft hoogstwaarschijnlijk een vuile truc met het systeem uitgehaald en er zullen verschillende storingen en problemen worden waargenomen. De Register-editor en Taakbeheer starten bijvoorbeeld niet. Om het systeem te behandelen zullen wij gebruik maken van het AVZ programma.

Er kan een probleem optreden bij het downloaden met Google Chrome omdat... Deze browser beschouwt het programma als kwaadaardig en staat niet toe dat u het downloadt! Deze vraag is al gesteld op het officiële Google-forum, en op het moment dat dit artikel werd geschreven, alles het is al normaal.

Om het archief toch met het programma te downloaden, moet je naar ‘Downloads’ gaan en daar op ‘Download kwaadaardig bestand’ klikken. Ja, ik begrijp dat dit er een beetje stom uitziet, maar blijkbaar gelooft Chrome dat het programma de gemiddelde gebruiker kan schaden. En dit is waar als je het ergens in steekt! Daarom volgen wij strikt de instructies!

We pakken het archief uit met het programma, schrijven het naar externe media en voeren het uit op de geïnfecteerde computer. Laten we naar het menu gaan "Bestand -> Systeemherstel", vink de vakjes aan zoals op de afbeelding en voer de bewerkingen uit:

Nu volgen we het volgende pad: "Bestand -> Wizard voor probleemoplossing", ga dan naar “Systeemproblemen -> Alle problemen” en klik op de knop "Start". Het programma scant het systeem en vinkt vervolgens in het venster dat verschijnt alle vakjes aan, behalve 'Automatische updates van het besturingssysteem uitschakelen' en de vakjes die beginnen met de zinsnede 'Autorun toestaan van...'.

Klik op de knop "Opgemerkte problemen oplossen". Ga na succesvolle afronding naar: “Browserinstellingen en aanpassingen -> Alle problemen”, hier vinken we alle vakjes aan en klikken op dezelfde manier op de knop "Gemarkeerde problemen oplossen".

We doen hetzelfde met “Privacy”, maar vink hier niet de vakjes aan die verantwoordelijk zijn voor het wissen van bladwijzers in browsers en wat u verder nog nodig denkt te hebben. We voltooien de controle in de secties “Systeemopschoning” en “Verwijdering van Adware/Toolbar/Browserkaper”.

Sluit ten slotte het raam zonder de AVZ te verlaten. In het programma vinden we “Extra -> Explorer-extensie-editor” en schakel de items uit die zwart zijn gemarkeerd. Laten we nu verder gaan met: “Extra -> Internet Explorer Extensiebeheer” en wis alle lijnen in het venster dat verschijnt volledig.

Ik heb hierboven al gezegd dat dit gedeelte van het artikel ook een van de manieren is om Windows te genezen van banner-ransomware. In dit geval moet u het programma dus op uw werkcomputer downloaden en vervolgens naar een flashstation of schijf schrijven. Wij voeren alle handelingen uit in een veilige modus. Maar er is nog een andere optie om AVZ te starten, zelfs als de veilige modus niet werkt. U moet vanuit hetzelfde menu starten wanneer het systeem opstart, in de modus "Problemen met uw computer oplossen".

Als u het hebt geïnstalleerd, wordt het bovenaan het menu weergegeven. Als het er niet is, probeer dan Windows te starten totdat de banner verschijnt en koppel de computer los. Schakel het vervolgens in - er wordt mogelijk een nieuwe startmodus aangeboden.

Wordt uitgevoerd vanaf de Windows-installatieschijf

Een andere trefzekere manier is om op te starten vanaf elke Windows 7-10-installatieschijf en daar niet “Installeren” te selecteren, maar "Systeemherstel". Wanneer de probleemoplosser actief is:

U moet daar "Opdrachtregel" selecteren
Schrijf in het zwarte venster dat verschijnt: "notepad", d.w.z. start een gewoon notitieblok. Wij gaan hem gebruiken als mini-geleider
Ga naar het menu “Bestand -> Openen”, selecteer het bestandstype “Alle bestanden”
Zoek vervolgens de map met het AVZ-programma, klik met de rechtermuisknop op het te starten bestand “avz.exe” en start het hulpprogramma met behulp van het menu-item “Openen” (niet het item “Selecteren”).

Als al het andere niet lukt

Verwijst naar gevallen waarin u om de een of andere reden niet kunt opstarten vanaf een flashstation met een opgenomen Kaspersky-image of het AVZ-programma. Het enige wat u hoeft te doen is de harde schijf uit uw computer te verwijderen en deze als tweede schijf op uw werkcomputer aan te sluiten. Start vervolgens op vanaf een ONGEïnfecteerde harde schijf en scan UW schijf met een Kaspersky-scanner.

Stuur nooit sms-berichten waar oplichters om vragen. Wat de tekst ook is, stuur geen berichten! Probeer verdachte sites en bestanden te vermijden en lees deze in het algemeen. Volg de instructies en uw computer is veilig. En vergeet antivirusprogramma's en regelmatige updates van het besturingssysteem niet!

Hier is een video waarin je alles kunt zien met een voorbeeld. De playlist bestaat uit drie lessen:

PS: welke methode heeft jou geholpen? Schrijf erover in de reacties hieronder.

Elke vijfde eigenaar van een personal computer is aangevallen door oplichters op het World Wide Web. Een populaire vorm van misleiding zijn de Winlocker-trojans. Dit zijn banners die de werkprocessen van Windows blokkeren en vereisen dat u een sms naar een betaald nummer stuurt. Om van dergelijke ransomware af te komen, moet u uitzoeken welke bedreigingen deze vormt en hoe deze in het systeem terechtkomt. In bijzonder moeilijke gevallen moet u contact opnemen met het servicecentrum.

Hoe komen virusbanners op een computer terecht?

Als eerste op de lijst van besmettingsbronnen staan illegale programma's voor werk en vrije tijd. We mogen niet vergeten dat internetgebruikers eraan gewend zijn geraakt om gratis software online te verkrijgen. Maar het downloaden van software van verdachte sites brengt een groot risico op bannerinfectie met zich mee.

Windows wordt vaak vergrendeld bij het openen van een gedownload bestand met de extensie “.exe”. Dit is natuurlijk geen axioma; het heeft geen zin om te weigeren software met een dergelijke extensie te downloaden. Onthoud een eenvoudige regel: ".exe" is een extensie voor de installatie van games of programma's. En de aanwezigheid ervan in de naam van video-, audio-, afbeeldings- of documentbestanden maximaliseert de kans dat een computer wordt geïnfecteerd door een Winlocker-trojan.

De tweede meest gebruikelijke methode is gebaseerd op een oproep om uw Flash Player of browser bij te werken. Het ziet er als volgt uit: wanneer u van pagina naar pagina gaat terwijl u op internet surft, verschijnt het volgende bericht: "uw browser is verouderd, installeer een update." Dergelijke banners leiden niet naar de officiële website. Als u akkoord gaat met een upgrade-aanbod van een derde partij, zal dit in 100% van de gevallen leiden tot infectie van het systeem.

Hoe u de banner-ransomware van uw computer verwijdert

Er is maar één manier met 100% garantie: Windows opnieuw installeren. Het enige nadeel hier is een heel groot nadeel: als je geen archief met belangrijke gegevens van de C-schijf hebt, gaan ze tijdens een standaardherinstallatie verloren. Wil je programma's en games opnieuw installeren vanwege de banner? Dan is het de moeite waard om kennis te nemen van andere methoden. Ze vallen allemaal in twee hoofdcategorieën:

Er is toegang tot de veilige modus;
U kunt de veilige opstartmodus niet gebruiken.

Virussen worden voortdurend verbeterd en kunnen elke opstartmodus van het besturingssysteem uitschakelen. Daarom is de eerste optie om de banner van uw computer te verwijderen niet altijd mogelijk.

Met al de verscheidenheid aan methoden voor ongediertebestrijding komen alle handelingen neer op één principe. Nadat de verwijderingsprocedure is voltooid en het systeem succesvol opnieuw is opgestart (als er geen ransomware-banners zijn), zijn aanvullende maatregelen vereist. Anders verschijnt het virus opnieuw of loopt de computer vast. Laten we eens kijken naar de twee meest voorkomende manieren om dit te voorkomen.

Veilige modus

Start de computer opnieuw op door op de F8-toets te drukken totdat een menu met andere opstartopties van het besturingssysteem verschijnt. Selecteer daarin met de pijlen op het toetsenbord de regel "Veilige modus met opdrachtregelondersteuning" uit de lijst.

Als de malware niet diep in het systeem is doorgedrongen, wordt het bureaublad weergegeven. Via de knop "Start" selecteert u "Bestanden en programma's zoeken". In het venster dat verschijnt, vult u de opdracht “regedit” in. Hier heeft u basiskennis van computersystemen nodig om het register van het virus op te schonen en de gevolgen ervan te verwijderen.

Laten we beginnen met de map:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon. Daarin bestuderen we achtereenvolgens 2 subparagrafen. Shell - alleen het item "explorer.exe" zou aanwezig moeten zijn. Andere waarden – een teken van een banner – worden verwijderd. Userinit moet "C:\Windows\system32\userinit.exe" bevatten. In plaats van de letter “C” kan er een andere zijn als het besturingssysteem vanaf een ander lokaal station draait.

HKEY_CURRENT_USER (soortgelijke submappen). Als de hierboven genoemde subitems aanwezig zijn, moeten ze worden verwijderd.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Alle verdachte regels met betekenisloze namen moeten worden gewist, bijvoorbeeld “skjgghydka.exe”. Heeft u twijfels over de schade van het registerbestand? In feite is het verwijderingsproces niet nodig. Voeg "1" toe aan het begin van de naam. Als er een fout optreedt, start deze niet en indien nodig kunt u de oorspronkelijke waarde retourneren.
HKEY_CURRENT_USER (submappen). Acties zijn hetzelfde als in de vorige paragraaf.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce. We herhalen alle bewerkingen.
HKEY_CURRENT_USER (verder pad, zoals in de paragraaf hierboven). Wij voeren soortgelijke acties uit.

Nadat alle acties zijn voltooid, start u het systeemhulpprogramma “cleanmgr”. Nadat we een lokale schijf met Windows hebben geselecteerd, beginnen we met scannen. Vink vervolgens in het venster dat verschijnt alle vakjes aan, behalve 'Back-upbestanden van pakket bijwerken'. Nadat u het hulpprogramma hebt uitgevoerd, hoeft u alleen nog maar de gevolgen van het virus op te ruimen en te verwijderen.

Het systeem herstellen naar een controlepunt

Om de banner van de computer te verwijderen, zullen we een standaard systeemherstel gebruiken naar het bestaande opslagpunt dat voorafging aan het verschijnen van de Winlocker. Het proces wordt gestart via de opdrachtregel door de waarde "rstrui" in te voeren. In het geopende venster kunt u een aanbevolen datum selecteren of uw eigen datum instellen uit de beschikbare lijst.

Het herstel zal enige tijd duren en zal eindigen met een herstart van het systeem. Het resultaat zal een volledige verwijdering van het kwaadaardige programma zijn. In sommige gevallen kan er een bericht verschijnen dat aangeeft dat het onmogelijk is om het systeem te herstellen. Met deze optie hoeft u alleen maar contact op te nemen met het servicecentrum. Het is beter om dit te doen als u niet over de nodige vaardigheden beschikt om met het register te werken.

Bescherm uw computer tegen blokkering

Iedereen kan een Winlocker-trojan tegenkomen. Het is gemakkelijk om een nerveuze situatie te vermijden als je eenvoudige veiligheidsregels volgt:

Installeer een werkend antivirusprogramma;
Open geen verdachte e-mails;
Klik niet op pop-upberichten op internet;
Update uw besturingssysteem regelmatig.

Maar als er zich al problemen hebben voorgedaan, zal het Recomp-servicecentrum u helpen. Onze specialisten verwijderen blokkerende programma's en andere virussen, elimineren sporen van hun aanwezigheid en verbeteren de werking van het besturingssysteem. Bij ons is het gemakkelijk om het verlies van belangrijke gegevens te voorkomen, en indien nodig herstellen wij verloren bestanden!

Gratis

Degenen die “het geluk” hebben om zo’n kwaadaardig programma tegen te komen, zullen heel goed begrijpen hoe onaangenaam en ernstig dit probleem is. Stel je voor dat je een bestand van internet hebt gedownload, bijvoorbeeld een e-boek. U opent dus het gedownloade archief en plotseling verschijnt er een bericht op het hele scherm dat de computer is vergrendeld en om deze te ontgrendelen moet u een account aanvullen of geld overboeken naar een portemonnee. Bovendien bestaat er zeker een risico dat als niet aan de vereisten wordt voldaan, belangrijke gegevens voor u verloren kunnen gaan, uw reputatie op verschillende manieren kan worden beschadigd en zelfs uw computer beschadigd kan raken en defect kan raken. Dat is alles, je kunt niets meer doen, de computer reageert niet op opdrachten en zelfs opnieuw opstarten en proberen de taakbeheerder te bellen helpt niet.

Wees niet bang, al deze bedreigingen zijn slechts bluf, en sterker nog: u mag aan niemand geld overmaken. Dergelijke virussen doen niets anders dan uw pc blokkeren. Ze zijn gemaakt door studenten, of kinderen in het algemeen, die eenvoudigweg een kant-en-klaar product gebruikten in de hoop er gemakkelijk winst mee te kunnen maken.

U kunt met dergelijke malware besmet raken door iets van internet te downloaden. Het komt ook vaak voor dat computers worden benaderd via kwetsbaarheden in de browser. Niemand is hier meer veilig voor, want om geïnfecteerd te raken hoef je alleen maar naar een geïnfecteerde website te gaan.

Dergelijke virussen registreren zichzelf, eenmaal op een pc, tijdens het opstarten en blokkeren de werking van alle belangrijke applicaties die u kunt gebruiken, terwijl ze het hele scherm bedekken met een blokkeerbericht. Maar hoe beangstigend dit ding ook is, je kunt dergelijke malware zonder veel moeite verwijderen.

Het verwijderen van de door Windows geblokkeerde banner

Onderstaande afbeeldingen tonen voorbeelden van banners.

Allereerst moet u begrijpen dat u de instructies in de banner niet moet volgen. Stuur naar niemand geld en stuur geen sms. Niemand zal u toch een ontgrendelingssleutel sturen en u verspilt alleen maar uw geld. Volg in plaats daarvan de volgende aanbevelingen die u zullen helpen Winlock van uw computer te verwijderen.

Zoek eerst een andere werkende computer of smartphone. En bezoek hiermee de websites van de antivirusbedrijven DrWeb of Kaspersky. Daar vindt u speciale services voor het selecteren van sleutels voor ontgrendeling. Vul daar de benodigde gegevens in, waarna er een sleutel wordt gegenereerd. Neem deze slechterik en schrijf het in het bannerveld dat de computer heeft geblokkeerd. Heel vaak helpt deze methode.

U kunt ook een hulpprogramma downloaden van de websites van Kaspersky en DoctorWeb waarmee u uw computer op malware kunt scannen.

(Gemarkeerd met nummer 1 op de schermafbeelding)

Als u te maken krijgt met een programma dat gegevens versleutelt die belangrijk voor u zijn en ook geld kost, dan moet u verschillende aanvullende programma's gebruiken die deze kunnen ontsleutelen. (Gemarkeerd met nummer 2 op de schermafbeelding)

Ik raad aan om soortgelijke hulpprogramma's vooraf op een flashstation of schijf op te nemen, zodat u, indien nodig, de benodigde hulpmiddelen kunt gebruiken zonder de hulp van een extra computer in te roepen.

Hoe start ik het besturingssysteem als Windows is vergrendeld?

We starten Windows in de veilige modus. Om dit te doen, moet u na het inschakelen van de computer, net voordat Windows opstart, op de F8-toets drukken. Met de pijlen op het toetsenbord kunt u de gewenste opstartmodus selecteren. Het zal een goed teken zijn als het virus niet in de veilige modus draait. Als Winlock wel start, kunt u een andere modus proberen die ondersteuning biedt voor de opdrachtregel. Als het in geen van de gevallen helpt, is er nog een optie: het besturingssysteem starten vanaf een opstartbare USB-flashdrive of -schijf.

Om zo'n flashstation of schijf te maken, moet u Windows PE downloaden. En schrijf de gedownloade schijfimage naar een geschikt opslagmedium. Vervolgens drukt u onmiddellijk nadat u de computer heeft aangezet en het BIOS-scherm verschijnt op de Del-toets (of op F2/F10/F12, afhankelijk van het moederbord, lees dit in de instructies). U wordt naar het BIOS-instellingenmenu geleid, waarin u de schijf of usb als eerste in de wachtrij moet zetten om het besturingssysteem te laden en de wijzigingen op te slaan. Vergeet niet uw schijf/flashstation te plaatsen en uw computer opnieuw op te starten. Hierna zal Windows PE starten, dat al een redelijk uitgebreide set tools zal hebben die nodig zijn om Winlocker te verwijderen.

Als u uw oorspronkelijke besturingssysteem kunt starten, scan dan met de antivirusprogramma's die op het opslagmedium zijn opgeslagen. Als u met Windows PE bent begonnen, voer deze toepassingen dan uit vanaf een flashstation. Bovendien kunt u de toepassingen gebruiken die bij dit Windows-besturingssysteem worden geleverd.

Hoe computer ontgrendelen handmatig?

Deze methode helpt vaak: via Bestandsbeheer wist u alle tijdelijke Temp-mappen en de map Application Data (die zich in de thuismap van de gebruiker bevindt).

Wis de cache van alle geïnstalleerde browsers volledig. Verwijder het bestand waarmee u bent geïnfecteerd, als dat er is. Na al deze stappen start u uw computer opnieuw op. Als dit alles u niet van de banner redt, probeer dan de volgende aanbevelingen.

Zoek naar alle bestanden met een recente wijzigingsdatum, op deze manier kun je winlock-bestanden vinden. Heel vaak kunt u een virus deactiveren door de datum in het BIOS enkele jaren vooruit of terug in te stellen.

Als het u is gelukt uw eigen systeem in de veilige modus te starten, is een verplichte stap het opschonen van het register. Open de register-editor via de toepassing Uitvoeren door de opdracht regedit in te voeren. Als er ondersteuning voor de opdrachtregel is, kan dezelfde opdracht in de console worden ingevoerd.

Vervolgens moet je naar deze branch gaan: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Let op de volgende parameter: Schelp, die “explorer.exe” zou moeten bevatten, en in de parameter Gebruikersinit De waarde moet "\WINDOWS\system32\userinit.exe" zijn. Als de waarden van deze parameters niet hetzelfde zijn, verander ze dan naar wat ze zouden moeten zijn. Het zou beter zijn om deze waarden opnieuw te herschrijven, ook al zijn ze niet verschillend.