Meniul
AcasăInstrucțiuni

Bannerele care blochează computerul. Îndepărtăm virușii banner în diferite moduri

Virușii informatici devin din ce în ce mai sofisticați în fiecare an. Unele dintre ele servesc ca o sursă de stoarcere de bani de la oameni, în timp ce altele sunt menite să distrugă sistemul și să fure date. Există o infecție a computerului care face publicitate resurselor de internet și pur și simplu interferează cu funcționarea normală a computerului. Cea mai mare parte a celor mai puțin periculoși viruși sunt reprezentate de bannere. Acesta este cel mai frecvent spam, dar poate cauza multe probleme. Cum să eliminați un banner într-un caz sau altul? Va trebui să găsim răspunsul la această întrebare în continuare. În plus, merită să studiați toate modalitățile de a proteja sistemul de operare și locurile în care puteți „prelua” un virus banner.

Pericolul este aproape

Mai întâi, să aflăm ce surse răspândesc „infecția” computerului. La urma urmei, este întotdeauna mai ușor să previi o infecție cu PC-ul decât să vindeci sistemul de operare.

Astăzi, spam-ul, troienii și alți viruși pot pătrunde:

  • prin distribuirea de scrisori prin e-mail;
  • atunci când vizitați anumite site-uri web;
  • atunci când utilizați programe hacker;
  • în timpul descărcarii fișierelor;
  • prin instalarea de software din surse nesigure.

Aceasta este cea mai comună listă de locuri potențial periculoase pentru utilizatori. În plus, virușii sunt acum distribuiți în mod activ prin torrente și, prin urmare, este recomandat să utilizați un astfel de software cu precauție.

Tipuri de virusuri

Cum să elimini un banner? Înainte de a lua măsuri decisive, utilizatorul trebuie să afle cu ce infecție specifică are de-a face. Algoritmul suplimentar al acțiunilor va depinde de acest lucru.

Utilizatorii se plâng de următoarele tipuri de bannere:

  • cu o solicitare de a trimite bani la telefon;
  • oferirea de a trimite SMS-uri plătite;
  • solicitarea alimentării contului prin terminale de plată;
  • insistând asupra transferului de bani prin rețelele sociale;
  • umplerea desktopului cu reclame;
  • pagini de deschidere și bannere noi în browsere.

Ultimele 2 opțiuni sunt virușii cel mai puțin periculoși. Ele sunt adesea numite spam. A scăpa de ele este mai ușor decât pare. Dar mai întâi să ne uităm la situații mai dificile.

Safe Mode - Conectare

Cum să eliminați bannerele publicitare care blochează accesul la sistemul de operare? De obicei, astfel de programe necesită bani pentru a se conecta la Windows. Dar chiar și după ce fondurile sunt creditate, nu va urma nicio deblocare. După repornirea computerului, utilizatorul va vedea același banner.

Puteți scăpa de o astfel de infecție în diferite moduri. De exemplu, prin utilizarea modului sigur Windows. Utilizatorul va avea nevoie de:

  1. Reporniți computerul sau pur și simplu porniți-l.
  2. În timpul încărcării, apăsați F8.
  3. Selectați linia „Mod sigur...” din lista care apare. Este necesară o secțiune etichetată „linie de comandă”.
  4. Deschideți Start și introduceți regedit în bara de căutare.
  5. Selectați serviciul corespunzător și apăsați „Enter”.

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon.

Cum să elimini un banner? După acești pași, utilizatorul va trebui să efectueze o verificare amănunțită a informațiilor.

Verificarea datelor

Despre ce e vorba? După ce ați urmat calea specificată anterior, trebuie să vedeți că ferestrele corespunzătoare conțin următoarele valori:

Shell - există inscripția „explorer.exe” și doar atât;

Userinit - aici textul ar trebui să fie „C:\Windows\system32\userinit.exe”.

Aceasta este calea:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Orice găsit aici este șters. Odată ce sarcina este finalizată, utilizatorul va trebui să șteargă toate operațiunile neînțelese de la următoarele adrese:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce;

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Dar asta nu va fi suficient. Pentru a elimina bannerul ransomware, trebuie să curățați sistemul. Cum să o facă?

Despre curățarea sistemului de operare în modul sigur

Nu există nimic special sau de neînțeles în această procedură. Este suficient să urmați instrucțiunile de bază.

  1. Deschideți serviciul „regedit” conform principiului descris mai devreme.
  2. Scrieți comanda cleanmgr.
  3. Selectați partiția pe care este instalat sistemul de operare.
  4. Scanează-l.
  5. Bifați toate casetele, cu excepția „Fișiere de rezervă...”.
  6. Faceți clic pe „OK”.

Tot ce rămâne este să aștepți. În câteva minute utilizatorul va avea acces la sistemul de operare. Dar acesta nu este un motiv de bucurie. La urma urmei, prin acțiunile descrise, cel mai probabil, virusul a fost dezactivat. Acum trebuie să scăpăm de el.

Eliminarea ransomware-ului dezactivat

Cum să eliminați un banner de pe computer? Pentru a curăța sistemul de operare de viruși dezactivați, astăzi puteți utiliza utilitare suplimentare gratuite. Sunt o mulțime. Funcționează pe principiul unui antivirus. Este suficient să lansați programul, să scanați și să eliminați obiectele periculoase. Dacă este posibil, puteți trata software-ul sau îl puteți „remedia” automat.

Pentru a elimina virușii ransomware prezentați ca bannere, este mai bine să utilizați următoarele programe:

  • „AntiWinLockerCD”;
  • utilitarul AVZ.

Acest software este extrem de ușor de învățat. Chiar și un copil se poate descurca. Acum este clar cum să eliminați bannerul ransomware.

Kaspersky pentru a ajuta

Dar aceasta este doar o opțiune pentru dezvoltarea evenimentelor. Utilizatorii moderni pot folosi diferite metode de a-și trata computerul.

Puteți dezactiva virusul ransomware și scăpați de el folosind utilitarul Kaspersky „Deblocker”. Acesta este un serviciu gratuit care scapă rapid și ușor de diverse bannere. Principalul lucru este că utilizatorul are acces la un browser de internet. Apropo, operațiunile pot fi efectuate de pe un computer care nu este infectat.

Algoritmul acțiunilor se reduce la următoarele etape:

  1. Deschide site-ul în orice browser sms.kaspersky.ru.
  2. Indicati in campul corespunzator numarul de telefon sau contul specificat al estorcatorului.
  3. Introduceți codul pe care vi se cere să îl trimiteți.
  4. Faceți clic pe butonul „Obțineți codul...”.
  5. Încercați toate codurile posibile emise.

Asta e tot. Căutând prin codurile disponibile, utilizatorul va putea scăpa de virusul ransomware.

Atacul pe browser

Cum să eliminați un banner pop-up dintr-un browser? Algoritmii de acțiune propuși anterior vă ajută să vă curățați computerul de ransomware. Dar cel mai adesea oamenii se confruntă cu spam obișnuit. Deschide reclame și bannere în browsere, fură datele personale ale cetățenilor și, de asemenea, încarcă procesorul central al computerului.

În consecință, virusul va trebui să scape. Dar acest lucru se poate face în moduri diferite. În continuare, ne vom uita la cele mai comune scenarii. Sfaturile sugerate vor ajuta chiar și un utilizator începător să corecteze rapid situația.

Software suplimentar la distanță!

Utilizatorul va trebui să:

  1. Deschideți „Start” - „Panou de control”.
  2. Selectați „Eliminați programe...”.
  3. Examinați lista afișată pe ecran.
  4. Evidențiați toate componentele suspecte și inutile. De exemplu, „Baidu” sau „Vulcan Casino”.
  5. Faceți clic dreapta și faceți clic pe butonul „Ștergere” din lista derulantă.
  6. Urmați instrucțiunile de pe ecran pentru a finaliza expertul de dezinstalare.

Prima etapă de combatere a spam-ului pe computere a fost finalizată. Ce urmeaza?

Procese și viruși

Acum merită să ne gândim la ce procese rulează în sistemul de operare. Unele dintre ele pot fi rău intenționate. Dacă nu le dezactivați, atunci nu are rost să vă gândiți cum să eliminați bannerele publicitare din browser. Operațiunile nu vor duce la rezultatul final - după prima repornire a computerului, spam-ul va fi restabilit.

Cum să eliminați un banner de pe computer? Sunt eliminate programele? Atunci ai nevoie de:

  1. Apăsați Ctrl + Alt + Del de pe tastatură.
  2. Selectați serviciul „Manager de activități”.
  3. Accesați fila „Procese”.
  4. Selectați cu cursorul toate operațiunile suspecte și neclare.
  5. Apăsați butonul „Terminare...”.

Pe ecran va apărea un avertisment. Se afirmă că procesele de terminare pot perturba funcționarea sistemului de operare. După ce a fost de acord cu condiția, utilizatorul trebuie să oprească tranzacțiile suspecte.

Ștergeți memoria cache și istoricul

Cum să eliminați bannerele din browser? Aceasta nu este cea mai simplă, dar destul de accesibilă operațiune. Uneori este suficient să ștergeți pur și simplu istoricul din browserul de internet, precum și să ștergeți memoria cache.

În toate browserele, o listă a paginilor vizitate poate fi găsită în setări. De exemplu, sunt posibile următoarele acțiuni:

  1. Deschideți setările în Chrome sau Yandex.
  2. Accesați blocul „Istoric”.
  3. Faceți clic pe butonul „Ștergeți istoricul”.
  4. Bifați casetele de lângă „Tot istoricul” și „Ștergeți memoria cache”.

În unele versiuni de browsere de internet, după ce ai intrat în setări, trebuie să cauți secțiunea „Setări avansate”. Puteți găsi atât istoric, cât și date cache în el.

Și curățarea partițiilor menționate se reduce la căutarea și ștergerea folderului situat la:

C:\Documents and Settings\nume utilizator\Application Data\Opera.

Mozilla este un alt browser de internet popular. În ea, parametrii sunt resetati după cum urmează:

  1. Accesați setările browserului.
  2. Deschideți meniul Ajutor.
  3. Faceți clic pe linia „Informații pentru soluție...”.
  4. Faceți clic pe inscripția „Resetare...”.

Acum nu mai rămâne decât să reporniți browserul. Totul merge? Atunci nu trebuie să faci nimic altceva. Dar dacă reclamele și bannerele apar în continuare?

Proprietăți comenzi rapide

De exemplu, unii utilizatori consideră că este util să verifice proprietățile comenzilor rapide ale browserelor de rețea. Pentru a elimina un banner publicitar, o persoană va trebui să:

  1. Selectați comanda rapidă pentru browserul pe care îl utilizați.
  2. Faceți clic dreapta pe el.
  3. Accesați „Proprietăți”.
  4. În blocul „General”, priviți linia „Obiect”.
  5. Ștergeți tot ce este scris după fișierul executabil (format .exe) cu numele browserului.
  6. Salvează modificările.

Acești pași sunt potriviți pentru toate programele de acces la Internet. După ele, este mai bine să reporniți computerul.

Gazdă și limpede

Cum să eliminați un banner de pe computer? Unii viruși sunt înregistrați în fișierul gazdă. Prin urmare, va trebui să lucrați puțin cu el.

Utilizatorul trebuie să meargă la:

C:\Windows\System32\drivers\etc.

  1. Deschideți fișierul „Gazdă” cu notepad.
  2. Ștergeți tot ce este scris pe document.
  3. Salvați fișierul modificat.
  4. Eliminați toate duplicatele „Gazdă”, dacă există.

În unele cazuri, este mai ușor să selectați documentul menționat și să-l ștergeți ținând apăsat butonul Shift.

Antivirusurile vin în ajutor

Trebuie să vă dați seama cum să eliminați un banner din Yandex? Dacă sfaturile de mai sus nu aduc rezultate, va trebui să mergi mai departe. De exemplu, vă puteți scana computerul pentru viruși.

Pentru a face acest lucru, trebuie doar să lansați sistemul antivirus și să faceți clic pe butonul „Scanare profundă”. Orice software va funcționa - Kaspersky, NOD32 și Avast. Odată ce procedura este finalizată, persoana va trebui să trateze toate obiectele potențial periculoase. Și ceea ce nu a răspuns la tratament ar trebui eliminat.

Astfel de operațiuni sunt activate prin controale antivirus standard. Prin urmare, nu sunt necesare abilități sau cunoștințe de la utilizator.

Registrul computerului trebuie să fie curat

Ne-am dat seama cum să scoatem bannerul. Ce alte sfaturi vă vor ajuta să faceți față acestei sarcini?

Pentru a curăța automat registrul computerului, va trebui să:

  1. Lansați CCleaner.
  2. Faceți clic pe secțiunea „Înregistrare”.
  3. Faceți clic pe butonul „Analiză”.
  4. Selectați opțiunea „Curățare”. Va apărea după scanarea sistemului.

După finalizarea procedurii, registry va fi curat. Puteți reporni sistemul de operare și vedeți dacă există vreun rezultat. Este important ca toate browserele să fie închise atunci când lucrați cu utilitarul.

Măsuri extreme

Dar asta nu este tot. Pentru a răspunde cum să eliminați un banner pop-up dintr-un browser, unii oameni sunt gata să ia măsuri extreme. De obicei, nu le vine, dar nici nu este nevoie să excludeți astfel de machete. Despre ce e vorba?

Pentru a scăpa de orice virus din browser, pur și simplu puteți șterge browserul de internet cu toate datele utilizatorului. Prin reinstalarea (a nu fi confundat cu actualizarea) software-ului, veți putea relua lucrul cu software-ul funcțional. Înainte de dezinstalare, este mai bine să faceți copii ale marcajelor, dacă există.

În unele cazuri, funcționarea sistemului de operare este restabilită după o derulare a sistemului de operare. Operațiunea se realizează folosind instrumente standard Windows. Puteți găsi secțiunea dorită în „Start”, în folderul „Toate programele” - „Accesorii” - „Instrumente de sistem”. Urmând instrucțiunile de pe ecran, „victima” va restabili sistemul în câteva minute.

Ultima modalitate de a scăpa de bannere și de viruși în general este reinstalarea completă a Windows-ului. Necesită un disc de instalare. În timpul operațiunii, se recomandă formatarea completă a hard disk-ului „mașinii”. Acesta este singurul mod de a scăpa 100% de toate infecțiile existente ale computerului.

Vă cer posibila participare la problema mea. Intrebarea mea este aceasta: Cum să eliminați un banner: „Trimite SMS”, sistem de operare Windows 7 Apropo, al doilea sistem de pe computerul meu Windows XP a fost blocat de un banner în urmă cu o lună, sunt un utilizator atât de nefericit. Nu pot intra în modul sigur, dar am reușit să intru Computer Troubleshooting și de acolo rulez System Restore și a apărut eroarea - Nu există puncte de restaurare pe discul de sistem al acestui computer.

Nu a fost posibil să găsiți codul de deblocare pe site-ul Dr.Web, precum și pe ESET. Recent, am reușit să elimin un astfel de banner de la un prieten folosind ESET NOD32 LiveCD System Recovery Disk, dar în cazul meu nu ajută. Am încercat și Dr.Web LiveCD. Am setat ceasul din BIOS cu un an înainte, bannerul nu a dispărut. Pe diferite forumuri de pe Internet, se recomandă corectarea parametrilor UserInit și Shell din cheia de registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Dar cum ajung acolo? Folosești LiveCD? Aproape toate discurile LiveCD nu se conectează la sistemul de operare și operațiuni precum editarea registrului, vizualizarea obiectelor de pornire, precum și jurnalele de evenimente nu sunt disponibile de pe un astfel de disc sau mă înșel.

În general, există informații despre cum să eliminați un banner de pe Internet, dar în general nu este complet și mi se pare că mulți oameni copiază aceste informații undeva și le publică pe site-ul lor, astfel încât să fie doar acolo, dar întreabă. cum funcționează totul, vor ridica din umeri. Cred că acesta nu este cazul tău, dar, în general, vreau să găsesc și să elimin singur virusul, m-am săturat să reinstalez sistemul. Și ultima întrebare - există o diferență fundamentală în metodele de eliminare a bannerelor ransomware în sistemele de operare Windows XP și Windows 7. Puteți ajuta? Serghei.

Cum să eliminați un banner

Există destul de multe moduri de a te ajuta să scapi de virus, acesta se mai numește și Trojan.Winlock, dar dacă ești un utilizator începător, toate aceste metode vor necesita răbdare, rezistență și înțelegere din partea ta că ai întâlnit un inamic serios. , dacă nu vă este frică, să începem.

  • Articolul s-a dovedit a fi lung, dar tot ce s-a spus funcționează de fapt atât în ​​sistemele de operare Windows 7, cât și în Windows XP, dacă este o diferență undeva, cu siguranță voi remarca acest punct. Cel mai important lucru de știut este elimina bannerulși recuperați rapid sistemul de operare, nu va funcționa întotdeauna, dar este inutil să puneți bani în contul estorsionarului, nu veți primi niciun cod de deblocare înapoi, așa că există un stimulent să luptați pentru sistemul dvs.
  • Prieteni, în acest articol vom lucra cu mediul de recuperare Windows 7, sau mai exact cu linia de comandă pentru mediul de recuperare. Îți voi da comenzile necesare, dar dacă îți este greu să le ții minte, poți. Acest lucru vă va ușura mult munca.

Să începem cu cel mai simplu și să terminăm cu complexul. Cum să eliminați un banner folosind modul sigur. Dacă navigarea pe internet s-a încheiat fără succes și ați instalat neintenționat un cod rău intenționat, atunci trebuie să începeți cu cel mai simplu lucru - încercați să intrați în Safe Mode (din păcate, în majoritatea cazurilor nu veți reuși, dar merită să încercați), dar Cu siguranta vei putea intra(mai multe șanse), trebuie să faceți același lucru în ambele moduri, să ne uităm la ambele opțiuni.

În faza inițială de încărcare a computerului, apăsați F-8, apoi selectați, dacă reușiți să vă conectați la el, atunci puteți spune că sunteți foarte norocos și sarcina este simplificată pentru dvs. Primul lucru pe care trebuie să-l încercați este să reveniți ceva timp folosind punctele de restaurare. Pentru cei care nu știu cum să folosească recuperarea sistemului, citiți în detaliu aici -. Dacă restaurarea sistemului nu funcționează, încercați altceva.

În linia Run, tastați msconfig ,

Nici tu n-ar trebui să ai nimic în folder. Sau este situat la

C:\Utilizatori\Nume utilizator\AppData\Roaming\Microsoft\Windows\Meniu Start\Programe\Startup.

Notă importantă: Prieteni, în acest articol va trebui să vă ocupați în principal de foldere care au atributul Hidden (de exemplu AppData etc.), deci imediat ce intrați în Modul sigur sau Modul sigur cu suport pentru linia de comandă, porniți-l imediat în sistem afișând fișierele și folderele ascunse, altfel pur și simplu nu veți vedea folderele necesare în care este ascuns virusul. Este foarte ușor de făcut.

Windows XP
Deschideți orice folder și faceți clic pe meniul „Instrumente”, selectați „Opțiuni folder”, apoi accesați fila „Vizualizare” Apoi, în partea de jos, verificați elementul „” și faceți clic pe OK

Windows 7
Start -> Panou de control-> Vizualizare: Categorie - Pictograme mici -> Opțiuni folder -> Vizualizare. În partea de jos, bifați caseta „ Afișează fișierele și folderele ascunse».

Deci, să revenim la articol. Să ne uităm la folder, nu ar trebui să ai nimic în el.

Asigurați-vă că în rădăcina unității (C:), nu există foldere și fișiere nefamiliare sau suspecte, de exemplu, cu un nume atât de neînțeles OYSQFGVXZ.exe, dacă există, trebuie să le ștergeți.

Acum atenție: în Windows XP, ștergem fișierele suspecte (un exemplu este vizibil mai sus în captură de ecran) cu nume ciudate și

cu extensia .exe din foldere

C:\
C:\Documente și setări\Nume utilizator\Date aplicație
C:\Documente și setări\Nume utilizator\Setări locale
C:\Documente și setări\Nume utilizator\Setări locale\Temp- ștergeți totul de aici, acesta este folderul cu fișiere temporare.

Windows 7 are un nivel bun de securitate și, în majoritatea cazurilor, nu va permite programelor rău intenționate să facă modificări în registry, iar marea majoritate a virușilor se străduiește să intre în directorul de fișiere temporare:
C:\USERS\nume utilizator\AppData\Local\Temp, de aici puteți rula fișierul executabil.exe. De exemplu, aduc un computer infectat, pe captură de ecran vedem fișierul virus 24kkk290347.exe și un alt grup de fișiere create de sistem aproape în același timp împreună cu virusul trebuie șters.

Nu ar trebui să fie nimic suspect în ele, dacă există, le ștergem.

Și, de asemenea, asigurați-vă că:

În cele mai multe cazuri, pașii de mai sus vor elimina bannerul și vor permite sistemului să pornească normal. După încărcarea normală scanați-vă întregul computer cu un scaner antivirus gratuit cu cele mai recente actualizări - Dr.Web CureIt, descărcați-l de pe site-ul Dr.Web.

  • Notă: Puteți infecta imediat un sistem pornit normal cu un virus din nou accesând online, deoarece browserul va deschide toate paginile site-urilor pe care le-ați vizitat recent, printre acestea va fi în mod natural un site cu virus și poate fi prezent și un fișier de virus. în folderele temporare ale browserului. Găsim și, pe care le-ați folosit recent la: C:\Users\Username\AppData\Roaming\Browser name, (Opera sau Mozilla de exemplu) și într-un singur loc C:\Users\Username\AppData\Local\Your browser name, unde (C:) este partiția cu sistemul de operare instalat. Desigur, după această acțiune, toate marcajele dvs. vor dispărea, dar riscul de a vă infecta din nou este redus semnificativ.

Modul sigur cu suport pentru linia de comandă.

Dacă după toate acestea bannerul tău este încă în viață, nu renunța și citește mai departe. Sau măcar mergeți la mijlocul articolului și citiți informațiile complete despre corectarea setărilor de registry în cazul infectării cu banner ransomware.

Ce ar trebui să fac dacă nu pot intra în modul sigur? Incearca-l Modul sigur cu suport pentru linia de comandă, Acolo facem același lucru, dar există o diferențăîn comenzile Windows XP și Windows 7.

Aplicați Restaurare sistem.
În Windows 7, introduceți rstrui.exe și apăsați Enter - ajungem la fereastra System Restore.

Sau încercați să tastați comanda: explorer - se va încărca ceva de genul unui desktop, unde puteți deschide computerul meu și puteți face totul la fel ca în modul sigur - verificați computerul pentru viruși, uitați-vă la folderul Startup și rădăcina unității (C :), precum și fișierele temporare ale directorului: editați registrul după cum este necesar și așa mai departe.

Pentru a intra în Windows XP System Restore, tastați în linia de comandă - %systemroot%\system32\restore\rstrui.exe,

Pentru a intra în Windows XP în Explorer și în fereastra My Computer, ca și în cele șapte, introducem exploratorul de comenzi.


aici trebuie mai întâi să tastați exploratorul de comenzi și veți fi dus direct la desktop. Mulți oameni nu pot schimba aspectul implicit al tastaturii rusești în limba engleză pe linia de comandă folosind combinația alt-shift, apoi încercați shift-alt invers.

Deja aici accesați meniul Start, apoi Run.


apoi selectați Startup - ștergeți totul din el, apoi faceți tot ce ați făcut în rădăcina unității (C:), ștergeți virusul din directorul de fișiere temporare: C:\USERS\nume utilizator\AppData\Local\Temp, editați registrul după cum este necesar ( totul este descris mai sus cu detalii).

Restaurarea sistemului. Lucrurile vor fi puțin diferite pentru noi dacă nu reușiți să intrați în modul sigur și în modul sigur cu asistență pentru linia de comandă. Înseamnă asta că tu și cu mine nu vom putea folosi System Restore? Nu, acest lucru nu înseamnă că puteți derula înapoi folosind punctele de restaurare, chiar dacă sistemul dvs. de operare nu pornește în niciun mod. În Windows 7 trebuie să utilizați mediul de recuperare în faza inițială de pornire a computerului, apăsați F-8 și selectați din meniu Depanarea computerului,

În fereastra Opțiuni de recuperare, selectați din nou Restaurare sistem.

Acum fiți atenți, dacă atunci când apăsați meniul F-8 Depanare nu este disponibil, înseamnă că fișierele dvs. care conțin mediul de recuperare Windows 7 sunt deteriorate.

  • Este posibil să faci fără un Live CD? În principiu, da, citește articolul până la capăt.

Acum să ne gândim la ce vom face dacă nu putem porni System Restore prin niciun mijloc sau a fost complet dezactivat. Mai întâi, să vedem cum să eliminați bannerul folosind codul de deblocare, care este oferit cu amabilitate de companiile care dezvoltă software antivirus - Dr.Web, precum și ESET NOD32 și Kaspersky Lab, în ​​acest caz veți avea nevoie de ajutorul prieteni. Este necesar ca unul dintre ei să meargă la serviciul de deblocare, de exemplu Dr.Web

https://www.drweb.com/xperf/unlocker/

http://www.esetnod32.ru/.support/winlock/

precum și Kaspersky Lab

http://sms.kaspersky.ru/ și a introdus în acest câmp numărul de telefon la care trebuie să transferați bani pentru a debloca computerul și a făcut clic pe butonul - Căutați coduri. Dacă găsiți codul de deblocare, introduceți-l în fereastra bannerului și faceți clic pe Activare sau orice scrie, bannerul ar trebui să dispară.

O altă modalitate simplă de a elimina bannerul este să folosești un disc de recuperare sau așa cum se mai numesc și salvari de la și. Întregul proces de la descărcare, arderea imaginii pe un CD gol și verificarea computerului pentru viruși este descris în detaliu în articolele noastre, puteți urma linkurile, nu ne vom opri asupra acestui lucru. Apropo, discurile de salvare din datele de la companiile de antivirus nu sunt deloc rele, pot fi folosite ca LiveCD-urile - pentru a efectua diverse operațiuni cu fișiere, de exemplu, copiați date personale dintr-un sistem infectat sau rulați utilitarul de vindecare de la Dr.Web - Dr.Web CureIt - de pe o unitate flash. Și în discul de salvare ESET NOD32 există un lucru minunat care m-a ajutat de mai multe ori - Userinit_fix, care corectează setări importante de registry pe un computer infectat cu banner - Userinit, ramuri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon .

Cum să remediați toate acestea manual, citiți mai departe.
Ei bine, prietenii mei, dacă mai citește cineva articolul, atunci mă bucur mult pentru voi, acum începe distracția, dacă reușiți să învățați și, mai ales, să aplicați aceste informații în practică, mulți oameni obișnuiți pe care îi eliberați de Bannerul ransomware te va considera un hacker adevărat.

Să nu ne înșelăm, personal, tot ceea ce este descris mai sus m-a ajutat în exact jumătate din cazurile în care computerul meu a fost blocat de un virus de blocare - Trojan.Winlock. Cealaltă jumătate necesită o analiză mai atentă a problemei, ceea ce vom face.
De fapt, prin blocarea sistemului de operare, este tot Windows 7 sau Windows XP, virusul își face modificări în registry, precum și în folderele Temp care conțin fișiere temporare și în folderul C:\Windows->system32. Trebuie să corectăm aceste modificări. Nu uitați de Start->Toate Programele->Doarul de pornire. Acum despre toate acestea în detaliu.

  • Luați-vă timp, prieteni, mai întâi vă voi descrie unde se află exact ceea ce trebuie reparat, apoi vă voi arăta cum și cu ce instrumente.

În Windows 7 și Windows XP, bannerul ransomware afectează aceiași parametri UserInit și Shell din registrul din ramură

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
În mod ideal ar trebui să fie așa:
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Verificați totul prin scrisoare, uneori în loc de userinit întâlniți, de exemplu, usernit sau userlnlt.
De asemenea, trebuie să verificați parametrul AppInit_DLLs din cheia de registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, dacă găsiți ceva acolo, de exemplu C:\WINDOWS\SISTEM32\uvf.dll, toate acestea trebuie șterse.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, nu ar trebui să fie nimic suspect în privința lor.

Și, de asemenea, asigurați-vă că:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (trebuie să fie gol) și, în general, nici aici nu ar trebui să fie nimic de prisos. ParseAutoexec trebuie să fie egal cu 1 .

De asemenea, trebuie să ștergeți TOTUL din folderele temporare (există și un articol pe acest subiect), dar în Windows 7 și Windows XP sunt localizate ușor diferit:

Windows 7:
C:\Utilizatori\Nume utilizator\AppData\Local\Temp. Virușilor le place în special să se stabilească aici.
C:\Windows\Temp
C:\Windows\
Windows XP:
Din:\Documente și setări\Profil utilizator\Setări locale\Temp
Din:\Documents and Settings\User Profile\Local Settings\Temporary Internet Files.
C:\Windows\Temp
C:\Windows\Prefetch
Nu va fi de prisos să te uiți la folderul C:\Windows->system32 în ambele sisteme, toate fișierele se termină în .exe și dll cu data în ziua în care computerul tău a fost infectat de banner. Aceste fișiere trebuie șterse.

Acum urmăriți cum vor face toate acestea un începător și apoi un utilizator experimentat. Să începem cu Windows 7 și apoi să trecem la XP.

Cum să eliminați un banner în Windows 7 dacă Restaurarea sistemului a fost dezactivată?

Să ne imaginăm cel mai rău scenariu. Conectarea la Windows 7 este blocată de un banner ransomware. Restaurare sistem este dezactivată. Cel mai simplu mod este să intri în sistemul Windows 7 folosind un disc simplu de recuperare (o poți face direct în sistemul de operare Windows 7 - descris în detaliu în articolul nostru), poți folosi și un simplu disc de instalare Windows 7 sau orice simplu LiveCD. Porniți în mediul de recuperare, selectați System Restore, apoi selectați linia de comandă

și tastați –notepad în el, intrați în Notepad, apoi File și Deschideți.

Intrăm în exploratorul real, facem clic pe Computerul meu.

Mergem în folderul C:\Windows\System32\Config, aici indicăm Tipul de fișier - Toate fișierele și vedem fișierele noastre de registry, vedem și folderul RegBack,

în el, la fiecare 10 zile, Task Scheduler face o copie de rezervă a cheilor de registry - chiar dacă ați dezactivat Restaurarea sistemului. Ceea ce puteți face aici este să ștergeți fișierul SOFTWARE din folderul C:\Windows\System32\Config, care este responsabil pentru stupul de registry HKEY_LOCAL_MACHINE\SOFTWARE, cel mai adesea virusul își face modificările.

Și în locul lui, copiați și lipiți un fișier cu același nume SOFTWARE din copia de rezervă a folderului RegBack.

În cele mai multe cazuri, acest lucru va fi suficient, dar dacă doriți, puteți înlocui toate cele cinci stupi de registry din folderul RegBack din folderul Config: SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM.

Apoi, facem totul așa cum este scris mai sus - ștergeți fișierele din folderele temporare Temp, căutați prin folderul C:\Windows->system32 fișiere cu extensia .exe și dll cu data în ziua infecției și, bineînțeles, uitați-vă la conținutul folderului Startup.

În Windows 7 se află:

C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Windows XP:

C:\Documente și setări\Toți utilizatorii\Meniu principal\Programe\Startup.

  • Cum fac utilizatorii experimentați același lucru, credeți că folosesc un simplu LiveCD sau un disc de recuperare Windows 7? Departe de prieteni, ei folosesc un instrument foarte profesional - Microsoft Diagnostic and Recovery Toolset (DaRT) Versiunea: 6.5 pentru Windows 7- acesta este un ansamblu profesional de utilități aflate pe disc și necesare administratorilor de sistem pentru a restaura rapid parametri importanți ai sistemului de operare. Dacă sunteți interesat de acest instrument, citiți articolul nostru.

Apropo, se poate conecta perfect la sistemul dvs. de operare Windows 7. Pornind computerul de pe un disc de recuperare Microsoft (DaRT), puteți edita registrul, reatribui parole, șterge și copia fișiere, poți folosi recuperarea sistemului și multe altele. Fără îndoială, nu fiecare LiveCD are astfel de funcții.
Pornim computerul de pe acesta, așa cum se mai numește și discul de recuperare Microsoft (DaRT), refuzăm să inițializam conexiunea la rețea în fundal, dacă nu avem nevoie de internet.

Atribuiți litere de unitate în același mod ca pe sistemul țintă - spunem Da, este mai convenabil să lucrați în acest fel.

Nu voi descrie toate instrumentele, deoarece acesta este subiectul unui articol mare și îl pregătesc.
Să luăm primul instrument, Registry Editor, un instrument care vă permite să lucrați cu registry-ul sistemului de operare Windows 7 conectat.

Mergem la parametrul Winlogon din ramura HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon și pur și simplu edităm manual fișierele – Userinit și Shell. Știți deja care ar trebui să fie semnificația lor.

Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

În cazul nostru, trebuie să ștergem toate folderele temporare Temp știți deja câte sunt și unde sunt în Windows 7 de la mijlocul articolului.
Dar atentie! Deoarece Microsoft Diagnostic and Recovery Toolset este complet conectat la sistemul dvs. de operare, nu veți putea șterge, de exemplu, fișierele de registry -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, deoarece acestea sunt în curs de desfășurare și vă rugăm să faceți modificări. .

Cum să eliminați un banner în Windows XP

Din nou, punctul este în instrument, sugerez să utilizați ERD Commander 5.0 (link către articolul de mai sus), așa cum am spus la începutul articolului, este special conceput pentru a rezolva probleme similare în Windows XP. ERD Commander 5.0 vă va permite să vă conectați direct la sistemul de operare și să faceți tot ce am făcut cu Microsoft Diagnostic and Recovery Toolset în Windows 7.
Pornim computerul de pe discul de recuperare. Selectăm prima opțiune - conectarea la un sistem de operare infectat.

Selectați registrul.

Ne uităm la parametrii UserInit și Shell din ramura HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. După cum am spus mai sus, ar trebui să aibă acest sens.
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Uită-te și la HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs - ar trebui să fie gol.

Apoi, accesați Explorer și ștergeți totul din folderele temporare Temp.
Cum altfel puteți elimina un banner în Windows XP folosind ERD Commander (apropo, această metodă este aplicabilă oricărui Live CD). Puteți încerca să faceți acest lucru chiar și fără a vă conecta la sistemul de operare. Descărcați ERD Commander și lucrați fără a vă conecta la Windows XP,

în acest mod, tu și cu mine vom putea șterge și înlocui fișierele de registry, deoarece acestea nu vor fi implicate în lucru. Selectați Explorer.

Fișierele de registry din sistemul de operare Windows XP se află în folderul C:\Windows\System32\Config. Și copiile de rezervă ale fișierelor de registry create în timpul instalării Windows XP se află în folderul de reparații, situat la C:\Windows\repair.

Facem același lucru, copiați mai întâi fișierul SOFTWARE,

și apoi puteți face restul fișierelor de registry - SAM, SECURITY, DEFAULT, SYSTEM pe rând din folderul de reparații și le puteți înlocui cu aceleași în folderul C:\Windows\System32\Config. Înlocuiți fișierul? Suntem de acord - Da.

Vreau să spun că în majoritatea cazurilor este suficient să înlocuiți un fișier SOFTWARE. Când înlocuiți fișierele de registry din folderul de reparații, există șanse mari de a porni sistemul, dar majoritatea modificărilor pe care le-ați făcut după instalarea Windows XP se vor pierde. Luați în considerare dacă această metodă este potrivită pentru dvs. Nu uitați să eliminați tot ce nu este familiar de la pornire. În principiu, nu ar trebui să ștergeți clientul MSN Messenger dacă aveți nevoie de el.

Și ultima modalitate pentru azi de a scăpa de bannerul ransomware folosind discul ERD Commander sau orice Live CD

Dacă ați activat Restaurarea sistemului în Windows XP, dar nu o puteți aplica, puteți încerca acest lucru. Accesați folderul C:\Windows\System32\Config care conține fișierele de registry.

Folosiți glisorul pentru a deschide numele complet al fișierului și ștergeți SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM. Apropo, înainte de a le șterge, le poți copia undeva pentru orice eventualitate, nu se știe niciodată. Poate vrei să-l redai.

Apoi mergem la folder Informații despre volumul sistemului\_restore(E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2)\RP\ instantaneu, aici copiem fișiere care sunt copii de rezervă ale sucursalei noastre de registry HKEY_LOCAL_MACHINE\
REGISTRY_MACHINE\SAM
REGISTRY_MACHINE\SECURITY
REGISTRY_MACHINE\SOFTWARE
REGISTRY_MACHINE\DEFAULT
REGISTRY_MACHINE\SYSTEM

Lipiți-le în folderul C:\Windows\System32\Config

Apoi mergem în folderul Config și le redenumim, ștergând REGISTRY_MACHINE\, lăsând astfel noile fișiere de registry SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM.

Apoi ștergem conținutul folderelor Temp și Prefetch și ștergem totul din folderul Startup, așa cum se arată mai sus. Mă bucur dacă ajută pe cineva. Pe lângă articol a fost scris unul scurt și interesant, îl puteți citi.

Poate una dintre cele mai populare probleme pe care le întâmpină utilizatorii de reparații de computere este eliminarea unui banner de pe desktop. Așa-numitul banner este, în cele mai multe cazuri, o fereastră care apare înainte (în loc de) încărcarea desktopului Windows XP sau Windows 7 și vă informează că computerul este blocat și pentru a primi un cod de deblocare trebuie să transferați 500, 1000 de ruble sau o altă sumă la un anumit număr de telefon sau portofel electronic. Aproape întotdeauna puteți elimina singur un banner, despre care vom vorbi acum.

Vă rugăm să nu scrieți în comentarii: „Care este codul pentru numărul 89xxxxx”. Toate serviciile care sugerează coduri de deblocare după numere sunt bine cunoscute și nu despre asta este vorba în acest articol. Rețineți că, în cele mai multe cazuri, pur și simplu nu există coduri: persoana care a creat acest program rău intenționat este interesată doar să vă primească banii, iar furnizarea unui cod de deblocare în banner și o metodă de transfer al acestuia este o muncă inutilă și inutilă pentru l.

Site-ul unde sunt prezentate codurile de deblocare este disponibil într-un alt articol despre.

Tipuri de bannere SMS ransomware

Eu, în general, am venit chiar eu cu clasificarea speciilor, pentru a vă facilita navigarea în aceste instrucțiuni, deoarece constă în mai multe metode de eliminare a acestora și deblocare a computerului, de la cele mai simple și funcționale în majoritatea cazurilor, până la cele mai complexe, care, totuși, sunt uneori necesare. În medie, așa-numitele bannere arată astfel:

Deci, clasificarea mea a bannerelor ransomware:

  • Simplu - eliminați doar câteva chei de registry în modul sigur
  • Cele puțin mai complexe funcționează și în modul sigur. Ele pot fi tratate și prin editarea registrului, dar veți avea nevoie de un LiveCD
  • Efectuarea modificărilor MBR-ului hard diskului (discutat în ultima parte a instrucțiunilor) - apar imediat după ecranul de diagnosticare BIOS înainte ca Windows să înceapă încărcarea. Eliminat prin restaurarea MBR (zona de pornire a hard diskului)

Eliminarea unui banner în modul sigur prin editarea registrului

Această metodă funcționează în marea majoritate a cazurilor. Cel mai probabil, va funcționa. Deci, va trebui să pornim în modul sigur cu suport pentru linia de comandă. Pentru a face acest lucru, imediat după pornirea computerului, va trebui să apăsați frenetic tasta F8 de pe tastatură până când meniul pentru selectarea opțiunilor de pornire apare ca în imaginea de mai jos.

În unele cazuri, BIOS-ul computerului poate răspunde la tasta F8 prin afișarea propriului meniu. ÎN în acest caz,, apăsați Esc pentru a-l închide și apăsați din nou F8.

Ar trebui să selectați „Modul sigur cu asistență pentru linia de comandă” și să așteptați până când descărcarea se termină, după care veți vedea o fereastră cu promptul de comandă. Dacă Windows are mai multe conturi de utilizator (de exemplu, Administrator și Masha), atunci când se încarcă, selectați utilizatorul care a prins bannerul.

La promptul de comandă, introduceți regeditși apăsați Enter. Se va deschide Editorul Registrului. În partea stângă a editorului de registry veți vedea o structură arborescentă a secțiunilor, iar când selectați o anumită secțiune, în partea dreaptă veți vedea nume de parametriși ei valorile. Vom căuta acei parametri ale căror valori au fost modificate de așa-numitele. un virus care provoacă apariția unui banner. Ele sunt întotdeauna scrise în aceleași secțiuni. Deci, iată o listă de parametri ale căror valori trebuie verificate și corectate dacă diferă de cele date mai jos:

Secțiunea: HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon Această secțiune nu trebuie să conțină niciun parametru numit Shell, Userinit. Dacă există, ștergeți-le. De asemenea, merită să ne amintim la ce fișiere indică acești parametri - acesta este secțiunea: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon În această secțiune, trebuie să vă asigurați că valoarea parametrului Shell este Explorer. exe, iar parametrul Userinit este C :\Windows\system32\userinit.exe, (exact așa, cu o virgulă la sfârșit)

În plus, ar trebui să vă uitați la secțiunile:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Versiunea curentă/Run

și aceeași secțiune în HKEY_CURRENT_USER. Această secțiune specifică programele care pornesc automat când sistemul de operare pornește. Dacă vedeți un fișier neobișnuit care nu are legătură cu acele programe care de fapt pornesc automat și se află la o adresă ciudată, nu ezitați să ștergeți parametrul.

După aceasta, ieșiți din Editorul de registry și reporniți computerul. Dacă totul a fost făcut corect, atunci Windows va fi cel mai probabil deblocat după o repornire. Nu uitați să ștergeți fișierele rău intenționate și să vă scanați hard disk-ul pentru viruși pentru orice eventualitate.

Metoda de mai sus pentru a elimina un banner - instrucțiuni video

Am înregistrat un videoclip care arată metoda descrisă mai sus de a elimina un banner folosind modul sigur și editorul de registry, poate că va fi mai convenabil pentru cineva să perceapă informațiile.

Modul sigur este, de asemenea, blocat

În acest caz, va trebui să utilizați un fel de LiveCD. O opțiune este Kaspersky Rescue sau DrWeb CureIt. Cu toate acestea, ele nu ajută întotdeauna. Recomandarea mea este să aveți un disc de pornire sau o unitate flash cu astfel de seturi de programe pentru toate ocaziile, cum ar fi Hiren’s Boot CD, RBCD și altele. Printre altele, aceste discuri conțin un lucru precum Registry Editor PE - un editor de registry care vă permite să editați registry în timp ce porniți în Windows PE. În caz contrar, totul se face în același mod ca cel descris mai devreme.

Există și alte utilitare pentru editarea registrului fără pornirea sistemului de operare, cum ar fi Registry Viewer/Editor, disponibile și pe CD-ul de boot al lui Hiren.

Cum să eliminați un banner din zona de pornire a hard diskului

Ultima și cea mai neplăcută opțiune este un banner (deși este greu să-l numim așa, mai mult ca un ecran), care apare chiar înainte ca Windows să înceapă să se încarce și imediat după ecranul BIOS. Îl puteți elimina restabilind înregistrarea de pornire a hard diskului MBR. Acest lucru se poate face și folosind un LiveCD, cum ar fi CD-ul de pornire al lui Hiren, dar acest lucru necesită o anumită experiență în recuperarea partițiilor de hard disk și o înțelegere a operațiunilor implicate. Există o modalitate puțin mai simplă. Tot ce ai nevoie este un CD cu instalarea sistemului de operare. Acestea. dacă aveți Windows XP, atunci veți avea nevoie de un disc cu Win XP, dacă Windows 7, atunci un disc cu Windows 7 (deși aici va funcționa și un disc de instalare Windows 8).

Eliminarea bannerului de pornire în Windows XP


Porniți de pe CD-ul de instalare Windows XP și când vi se solicită să lansați Consola de recuperare Windows (nu recuperarea automată F2, ci consola lansată prin apăsarea tastei R), lansați-o, selectați o copie a Windows și introduceți două comenzi: fixbootȘi fixmbr(mai întâi primul, apoi al doilea), confirmați executarea acestora (introduceți simbolul latin y și apăsați Enter). După aceasta, reporniți computerul (nu mai de pe CD).

Recuperarea înregistrării de pornire în Windows 7


Se face aproape în același mod: introduceți discul de pornire Windows 7, porniți de pe acesta. În primul rând, vi se va cere să selectați o limbă, iar pe următorul ecran din stânga jos va apărea opțiunea „Restaurare sistem”, pe care ar trebui să o selectați. Apoi vi se va cere să alegeți una dintre mai multe opțiuni de recuperare. Lansați promptul de comandă. Și rulați următoarele două comenzi în ordine: bootrec.exe /FixMbrȘi bootrec.exe /FixBoot. După repornirea computerului (de pe hard disk), bannerul ar trebui să dispară. Dacă bannerul continuă să apară, atunci rulați din nou linia de comandă de pe discul Windows 7 și introduceți comanda bcdboot.exe c:\windows, în care c:\windows este calea către folderul în care aveți instalat Windows. Acest lucru va restabili sistemul de operare pentru a porni corect.

Mai multe moduri de a elimina un banner

Personal, prefer să scot bannerele manual: după părerea mea, este mai rapid și știu exact ce va funcționa. Cu toate acestea, de la aproape toți producătorii de antivirus puteți descărca o imagine CD de pe site-ul lor, după pornire de pe care utilizatorul poate elimina și bannerul de pe computer. Din experiența mea, aceste discuri nu funcționează întotdeauna, totuși, dacă vă este prea lene să înțelegeți editorii de registry și alte lucruri similare, un astfel de disc de recuperare poate fi foarte util.

In plus, pe site-urile antivirus exista si formulare in care poti introduce numarul de telefon la care ti se cere sa trimiti bani si, daca in baza de date exista coduri de blocare pentru acest numar, acestea ti se vor comunica gratuit. Atenție la site-urile unde îți cer să plătești pentru același lucru: cel mai probabil, codul pe care îl primești acolo nu va funcționa.

Cu siguranță, fiecare al patrulea utilizator al unui computer personal a întâlnit diverse escrocherii pe Internet. Un tip de înșelăciune este un banner care blochează funcționarea Windows și vă cere să trimiteți un SMS la un număr plătit sau cere criptomonede. În esență, este doar un virus.

Pentru a lupta împotriva ransomware-ului banner, trebuie să înțelegeți ce este acesta și cum pătrunde în computerul dvs. De obicei, un banner arată astfel:

Dar pot exista tot felul de alte variații, dar esența este aceeași - escrocii vor să facă bani din tine.

Modul în care un virus intră într-un computer

Prima opțiune pentru „infecție” este aplicațiile, utilitățile și jocurile piratate. Desigur, utilizatorii de internet sunt obișnuiți să obțină cea mai mare parte a ceea ce își doresc online „gratuit”, dar atunci când descarcă software piratat, jocuri, diverse activatoare și alte lucruri de pe site-uri suspecte, riscăm să fim infectați cu viruși. În această situație, de obicei ajută.

Windows poate fi blocat din cauza unui fișier descărcat cu extensia " .exe" Acest lucru nu înseamnă că ar trebui să refuzați să descărcați fișiere cu această extensie. Amintește-ți doar că " .exe„se poate aplica numai pentru jocuri și programe. Dacă descărcați un videoclip, o melodie, un document sau o imagine, iar numele acestuia are „.exe” la sfârșit, atunci șansa de apariție a unui banner ransomware crește brusc la 99,999%!

Există, de asemenea, un truc complicat cu presupusă necesitatea de a actualiza playerul Flash sau browserul. Se poate întâmpla să lucrați pe Internet, să vă mutați de la o pagină la alta și, într-o zi, veți găsi o inscripție care spune „playerul dvs. Flash este învechit, vă rugăm să actualizați”. Dacă dați clic pe acest banner și nu vă duce la site-ul oficial adobe.com, atunci este 100% un virus. Prin urmare, verificați înainte de a face clic pe butonul „Actualizare”. Cea mai bună opțiune ar fi să ignorați cu totul astfel de mesaje.

În cele din urmă, actualizările Windows învechite slăbesc securitatea sistemului. Pentru a vă proteja computerul, încercați să instalați actualizările la timp. Această caracteristică poate fi configurată în „Panouri de control -> Windows Update” la modul automat pentru a nu fi distras.

Cum să deblochezi Windows 7/8/10

Una dintre opțiunile simple de a elimina bannerul ransomware este. Ajută 100%, dar are sens să reinstalați Windows atunci când nu aveți date importante pe unitatea „C” pe care nu ați avut timp să le salvați. Când reinstalați sistemul, toate fișierele vor fi șterse de pe discul de sistem. Prin urmare, dacă nu doriți să reinstalați software și jocuri, atunci puteți utiliza alte metode.

După tratamentul și lansarea cu succes a sistemului fără bannerul ransomware, trebuie să faceți pași suplimentari, altfel virusul poate reapărea sau pur și simplu vor apărea unele probleme în funcționarea sistemului. Toate acestea sunt la finalul articolului. Toate informațiile au fost verificate de mine personal! Deci, să începem!

Kaspersky Rescue Disk + WindowsUnlocker ne va ajuta!

Vom folosi un sistem de operare special dezvoltat. Întreaga dificultate este că trebuie să descărcați imaginea pe computerul de lucru și sau (defilați printre articole, este acolo).

Când acest lucru este gata, aveți nevoie. În momentul pornirii, va apărea un mesaj mic, cum ar fi „Apăsați orice tastă pentru a porni de pe CD sau DVD”. Aici trebuie să apăsați orice buton de pe tastatură, altfel Windows-ul infectat va porni.

La încărcare, apăsați orice buton, apoi selectați limba – „rusă”, acceptați acordul de licență folosind butonul „1” și utilizați modul de lansare – „Grafic”. După pornirea sistemului de operare Kaspersky, nu acordăm atenție scanerului lansat automat, ci mergem la meniul „Start” și lansăm „Terminal”


Se va deschide o fereastră neagră, unde scriem comanda:

deblocator de geamuri

Se va deschide un mic meniu:


Selectați „Deblocați Windows” cu butonul „1”. Programul în sine va verifica și corecta totul. Acum puteți închide fereastra și puteți verifica întregul computer cu scanerul care rulează deja. În fereastră, bifați discul cu sistemul de operare Windows și faceți clic pe „Run object scan”


Așteptăm ca verificarea să se termine (poate dura mult timp) și, în sfârșit, repornim.

Dacă aveți un laptop fără mouse și touchpad-ul nu funcționează, vă sugerez să utilizați modul text al discului Kaspersky. În acest caz, după pornirea sistemului de operare, trebuie mai întâi să închideți meniul care se deschide cu butonul „F10”, apoi să introduceți aceeași comandă în linia de comandă: windowsunlocker

Deblocare în modul sigur, fără imagini speciale

Astăzi, viruși precum Winlocker au devenit mai inteligenți și împiedică încărcarea Windows în modul sigur, așa că cel mai probabil nu veți reuși, dar dacă nu există nicio imagine, atunci încercați. Virușii sunt diferiți și metode diferite pot funcționa pentru toată lumea, dar principiul este același.

Reporniți computerul. În timpul pornirii, trebuie să apăsați tasta F8 până când apare meniul Windows Advanced Startup Options. Trebuie să folosim săgețile în jos pentru a selecta din listă un element numit „Mod sigur cu suport pentru linia de comandă”.

Aici trebuie să mergem și să selectăm linia dorită:

Apoi, dacă totul merge bine, computerul va porni și vom vedea desktopul. Grozav! Dar asta nu înseamnă că totul funcționează acum. Dacă nu eliminați virusul și doar reporniți în modul normal, bannerul va apărea din nou!

Suntem tratați folosind Windows

Trebuie să restabiliți sistemul când bannerul de blocare nu exista încă. Citiți cu atenție articolul și faceți tot ce este scris acolo. Există un videoclip sub articol.

Dacă nu ajută, apăsați butoanele „Win ​​+R” și scrieți comanda în fereastră pentru a deschide editorul de registry:

regedit

Dacă, în loc de desktop, este lansată o linie de comandă neagră, atunci pur și simplu introduceți comanda „regedit” și apăsați „Enter”. Trebuie să verificăm unele secțiuni ale registrului pentru prezența virușilor sau, mai precis, a codului rău intenționat. Pentru a începe această operațiune, mergeți pe această cale:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

Acum verificăm următoarele valori în ordine:

  • Shell – „explorer.exe” trebuie scris aici, nu ar trebui să existe alte opțiuni
  • Userinit – aici textul ar trebui să fie „C:\Windows\system32\userinit.exe”,

Dacă sistemul de operare este instalat pe o altă unitate decât C:, atunci litera de acolo va fi diferită. Pentru a modifica valorile incorecte, faceți clic dreapta pe linia pe care doriți să o editați și selectați „editați”:

Apoi verificăm:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Nu ar trebui să existe chei Shell și Userinit aici, dacă există, ștergeți-le.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Și, de asemenea, asigurați-vă că:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Dacă nu sunteți sigur dacă trebuie să ștergeți cheia, puteți adăuga mai întâi un „1” la parametru. Calea va fi incorectă și programul pur și simplu nu va porni. Apoi o poți readuce așa cum a fost.

Acum trebuie să rulați utilitarul de curățare a sistemului încorporat, o facem în același mod în care am lansat editorul de registry „regedit”, dar scriem:

cleanmgr

Selectați unitatea cu sistemul de operare (C: în mod implicit) și după scanare, bifați toate casetele, cu excepția „Actualizați fișierele de rezervă ale pachetului”

Și faceți clic pe „OK”. Cu această acțiune, este posibil să fi dezactivat rularea automată a virusului și apoi trebuie să curățăm urmele prezenței acestuia în sistem și să citim despre asta la sfârșitul articolului.

utilitarul AVZ

Ideea este că în modul sigur vom lansa binecunoscutul utilitar antivirus AVZ. Pe lângă scanarea pentru viruși, programul are doar o mulțime de funcții pentru remedierea problemelor de sistem. Această metodă repetă pașii pentru a închide găurile în sistem după ce virusul a funcționat, inclusiv. Pentru a vă familiariza cu el, treceți la următorul punct.

Remedierea problemelor după eliminarea ransomware-ului

Felicitări! Dacă citiți acest lucru, înseamnă că sistemul a pornit fără banner. Acum trebuie să verifice întregul sistem. Dacă ați folosit discul de salvare Kaspersky și ați verificat acolo, atunci puteți sări peste acest punct.

Mai poate exista și o problemă asociată cu activitățile răufăcătorului - virusul vă poate cripta fișierele. Și chiar și după ștergerea completă, pur și simplu nu veți putea să vă folosiți fișierele. Pentru a le decripta trebuie să utilizați programe de pe site-ul Kaspersky: XoristDecryptor și RectorDecryptor. Există și instrucțiuni de utilizare acolo.

Dar asta nu este tot, pentru că... Winlocker a jucat cel mai probabil un truc murdar asupra sistemului și vor fi observate diverse erori și probleme. De exemplu, Editorul de registry și Managerul de activități nu vor porni. Pentru a trata sistemul vom folosi programul AVZ.

Este posibil să existe o problemă la descărcarea utilizând Google Chrome, deoarece... Acest browser consideră programul rău intenționat și nu vă permite să-l descărcați! Această întrebare a fost deja ridicată pe forumul oficial Google, iar la momentul scrierii acestui articol totul este deja normal.

Pentru a descărca în continuare arhiva cu programul, trebuie să mergeți la „Descărcări” și acolo faceți clic pe „Descărcați fișierul rău intenționat”. Da, înțeleg că acest lucru pare puțin stupid, dar se pare că programul poate dăuna utilizatorului obișnuit. Și asta este adevărat dacă îl bagi oriunde! Prin urmare, respectăm cu strictețe instrucțiunile!

Despachetăm arhiva cu programul, o scriem pe un suport extern și o rulăm pe computerul infectat. Să mergem la meniu „Fișier -> Restaurare sistem”, bifați casetele ca în imagine și efectuați operațiunile:

Acum mergem pe următorul drum: „Fișier -> Expert de depanare”, apoi du-te la „Probleme de sistem -> Toate problemele”și faceți clic pe butonul „Start”. Programul va scana sistemul, iar apoi în fereastra care apare, bifați toate casetele, cu excepția „Dezactivați actualizările automate ale sistemului de operare” și a celor care încep cu expresia „Permiteți executarea automată de la...”.

Faceți clic pe butonul „Remediați problemele observate”. După finalizarea cu succes, accesați: „Setări și ajustări ale browserului -> Toate problemele”, aici bifăm toate casetele și facem clic pe butonul „Remediați problemele marcate” în același mod.

Facem același lucru cu „Confidențialitate”, dar aici nu bifați casetele care sunt responsabile pentru curățarea marcajelor din browsere și orice altceva credeți că este necesar. Terminăm verificarea în secțiunile „System Cleaning” și „Adware/Toolbar/Browser Hijacker Removal”.

În cele din urmă, închideți fereastra fără a părăsi AVZ. În program găsim „Instrumente -> Editor de extensii Explorer”și debifați acele elemente marcate cu negru. Acum să trecem la: „Instrumente -> Internet Explorer Extension Manager”și ștergeți complet toate liniile din fereastra care apare.

Am spus deja mai sus că această secțiune a articolului este și una dintre modalitățile de a vindeca Windows de ransomware banner. Deci, în acest caz, trebuie să descărcați programul pe computerul de lucru și apoi să îl scrieți pe o unitate flash sau pe disc. Efectuăm toate acțiunile în mod sigur. Dar există o altă opțiune pentru a lansa AVZ, chiar dacă modul sigur nu funcționează. Trebuie să începeți din același meniu când sistemul pornește, în modul „Depanați computerul”.

Dacă îl aveți instalat, acesta va fi afișat chiar în partea de sus a meniului. Dacă nu este acolo, încercați să porniți Windows până când apare bannerul și să deconectați computerul. Apoi porniți-l - poate fi oferit un nou mod de lansare.

Rulează de pe un disc de instalare Windows

O altă modalitate sigură este să pornești de pe orice disc de instalare Windows 7-10 și să nu selectezi „Instalare” acolo, ci "Restaurarea sistemului". Când instrumentul de depanare rulează:

  • Trebuie să selectați „Linia de comandă” acolo
  • În fereastra neagră care apare, scrieți: „notepad”, adică. lansați un blocnotes obișnuit. Îl vom folosi ca mini dirijor
  • Accesați meniul „Fișier -> Deschidere”, selectați tipul de fișier „Toate fișierele”
  • Apoi, găsiți folderul cu programul AVZ, faceți clic dreapta pe fișierul care urmează să fie lansat „avz.exe” și lansați utilitarul folosind elementul de meniu „Deschidere” (nu elementul „Selectare”!).

Dacă totul eșuează

Se referă la cazurile în care, dintr-un anumit motiv, nu puteți porni de pe o unitate flash cu o imagine Kaspersky înregistrată sau programul AVZ. Tot ce trebuie să faceți este să scoateți hard disk-ul de pe computer și să îl conectați ca o a doua unitate la computerul de lucru. Apoi porniți de pe un hard disk NEINFECTAT și scanați-vă unitatea cu un scaner Kaspersky.

Nu trimite niciodată mesaje SMS pe care le cer escrocii. Indiferent de text, nu trimite mesaje! Încercați să evitați site-urile și fișierele suspecte și, în general, citiți. Urmați instrucțiunile, iar computerul dvs. va fi în siguranță. Și nu uitați de antivirus și de actualizările regulate ale sistemului de operare!

Iată un videoclip în care puteți vedea totul cu un exemplu. Lista de redare constă din trei lecții:

PS: ce metoda te-a ajutat? Scrieți despre asta în comentariile de mai jos.

În acest articol voi vorbi despre cum să eliminați bannerul porno. Cele mai multe bannere SMS și bannere porno necesită să trimiteți un mesaj SMS la un număr scurt și apoi să introduceți codul primit în mesajul de răspuns în fereastră. Dacă citiți acest text, atunci este deja clar pentru dvs. că nu ar trebui să faceți acest lucru în viitor și apare întrebarea: „Cum să eliminați un banner de pe computer?”

Problemă cu bannerele porno găsit în majoritatea covârșitoare pe Windows XP (dar se aplică și pentru Windows Vista/7).

Programe pentru tratarea și eliminarea bannerelor porno:

AVZ– utilitarul este conceput pentru a detecta și elimina software-ul dăunător:

  • Modulele SpyWare și AdWare sunt scopul principal al utilitarului
  • Dialer (Trojan.Dialer)
  • programe troiene
  • Module BackDoor
  • Viermi de rețea și e-mail
  • TrojanSpy, TrojanDownloader, TrojanDropper

Puteți descărca programul AVZ de pe .

Malwarebytes- un program pentru scanarea rapidă a sistemului pentru a detecta și elimina diferite tipuri de malware, inclusiv bannerele noastre porno preferate. Malwarebytes Anti-Malware se concentrează în primul rând pe combaterea modulelor spyware și vă permite să restabiliți complet funcționarea normală a computerului după ce le eliminați.

Blochează totul. Codul de deblocare poate fi găsit în motoarele de căutare. Am găsit codul de dezactivare, l-am introdus și am răsuflat ușurați - bannerul SMS a dispărut! Acum trebuie să curățăm sistemul. Există o mare varietate de mijloace și modalități de a face acest lucru, puteți alege după gustul dvs. Instalați și scanați sistemul cu Malwarebytes Anti-Malware, AVZ, apoi efectuați o restaurare a sistemului până la punctul înainte de a captura bannerul. Unii nu îl recomandă, dar îndrăznim să sugerăm programul ComboFix (înainte de a-l folosi, vă recomandăm cu căldură să citiți descrierea acestuia). Apoi treceți prin programul HijackThis, FAV. Și, în sfârșit, orice antivirus cu baze de date actualizate.

Dacă nu ați găsit codul de deblocare și bannerul SMS nu poate fi șters:

CD-ul Kaspersky Rescue. Descărcați imaginea ISO, inscripționați-o pe un disc și porniți de pe acesta. Îl lansați. Odată ce verificarea și tratamentul sunt finalizate, totul ar trebui să funcționeze impecabil. Reporniți și bucurați-vă de un sistem curat.

Bannere neclasificate

Există un alt banner care este greu de clasificat ca orice tip. Bannerul SMS blochează aproape toți pașii simpli pentru a-l elimina. Ctrl+Alt+Del nu ajută. Următorul Ctrl+Esc - apare meniul Start.

Descărcați utilitarul de tratament Manager de activități AnVir.Nu este doar o alternativă modernizată la task manager, ci și un antivirus.

Caracteristicile AnVir Task Manager

  • Gestionarea pornirii, rularea proceselor, serviciilor și driverelor
  • Înlocuirea Managerului de activități
  • Detectarea și eliminarea virușilor și a programelor spion, blocând încercările de infectare a sistemului
  • Accelerarea semnificativă a încărcării Windows și a funcționării computerului
  • Programul este complet gratuit

Lansăm AnVir, mergem la fila Procese și ne calculăm procesul. În cazul nostru este - servicii.exe, procesul s-a deghizat în serviciu de sistem service.exe.

Finalizăm procesul și bannerul a dispărut. Dar, deși avem un desktop curat în fața noastră (adică fără banner), încă nu există un buton Start pe el și Task Manager nu pornește. Folosim o metodă dovedită - Ctrl + Esc - Meniu principal - Programe - Accesorii - Explorer.

Există un alt banner care, de asemenea, nu se încadrează tocmai în clasificarea noastră. El este tratat cu FAV (FixAfterVirus).

Uneori, pentru a viziona un videoclip, playerul vă solicită să actualizați Flash Player. Aici trebuie să fii deosebit de atent. Imediat după o astfel de notificare și instalarea ulterioară a playerului, instalați un banner porno pe computer. Dacă acordați atenție, veți observa diferențe în stilul bannerului față de fereastra originală Adobe Flash Player.

Screensaver-ul care a apărut ulterior blochează atât regedit, cât și „restaurare sistem”, și este prezent în MODUL SIGUR. Nu apare imediat, ci după 1 oră după „actualizarea” Flash Player. Se află aici: C:\Documents and Settings\User\LocalSettings\Temp și este „înregistrat” în secțiunea de registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon. Repornim după introducerea unui CD Live de pe Dr.Web sau ERD Commander 5 în unitate (imaginea Live CD sau ERD Commander 5 este scrisă pe disc la viteză minimă, deoarece discul poate să nu pornească).

Lansați Regedit, introduceți userinit în căutare și reveniți la starea inițială. Dacă LiveCD nu are capacitatea de a edita registrul, atunci pur și simplu accesați C:\Document and Setting\User\LocalSettings\Temp și ștergeți fișierul banner de acolo. În cazul nostru este der1.tmp. Repornim computerul - bannerul a dispărut, rulăm Regedit, introducem userinit în căutare și îl readucem la starea inițială. Acum trebuie să restabilim sistemul.

Banner SMS cu contor de vizualizare a reclamelor:

Când faceți clic pe „descărcați cartea” sau „descărcați melodia” apare o fereastră. Dați permisiunea de a vă instala propriul banner. Citiți „acordul”!

Când apăsați butonul Închide(sau făcând clic pe link Elimina anunțurile) apare o fereastră cu un mesaj că „ți se cere să vezi mai multe... impresii de mesaje publicitare sau refuzi să vezi reclame prin trimiterea unui SMS cu textul 7728 la numărul 4125”:

Când este instalat, virusul creează în C: virusul creează foldere CMediaȘi FieryAds, precum și fișierul fieryads.dat

Dacă încercați să dezinstalați un program folosind un fișier Uninstall.exe, (există un astfel de fișier în aceste foldere, apoi se va deschide o fereastră cu un mesaj că dvs obligat vedeți încă 1000 de afișări ale acestui anunț:

Cum să eliminați acest banner SMS:

1. Deconectați-vă de la Internet și de la rețeaua locală, închideți toate paginile web deschise, ștergeți memoria cache a fișierelor temporare de Internet salvate de browserul web și ștergeți cookie-uri (puteți face acest lucru rapid cu CCleaner).

2. Din moment ce folderul \Documente și setări\Nume utilizator\Date aplicații\ atribute stabilite Ascuns, Sistem, Doar pentru lectură pentru a găsi și distruge viruși, apoi deschideți Calculatorul meu, selectați meniul Instrumente –> Opțiuni folder...(sau faceți clic Start -> Setări -> Panou de control -> Opțiuni folder);

– în caseta de dialog care se deschide Proprietățile folderului deschide fila Vedere;

- La capitolul Opțiuni suplimentare bifeaza casuta Afișează conținutul folderelor de sistem, debifați Ascundeți fișierele de sistem protejate, setați comutatorul Afișează fișierele și folderele ascunse –> OK.

3. Descărcați bannerul porno din memorie folosind utilitarul Process Explorer sau așteptați până când fereastra lui se închide de la sine;

– găsiți folderul \Documente și Setări\Nume_ utilizator\Application Data\CMedia;

– ștergeți-l cu tot conținutul (este posibil ca fișierele CMedia.dllȘi g.fla nu veți putea să-l ștergeți chiar așa - fără a reporni; Pentru a le elimina fără a reporni, veți avea nevoie de ajutor Process Explorer);

– găsiți folderul \Documente și Setări\Nume_ utilizator\Application Data\FieryAds;

– ștergeți-l împreună cu conținutul său (fișiere FieryAds.dllȘi FieryAdsUninstall.exe);

- în folder \Documente și Setări\Nume_ utilizator\Application Dataștergeți fișierul fieryads.dat.

Scanați sistemul cu Dr. Web CureIt.

Bara de activități va lipsi, nici Task Manager, nici nimic altceva nu poate fi lansat. Procesul explorer.exe este dezactivat. Porniți în modul sigur (F8 înainte de a porni Windows).

Pentru a restabili funcția Managerului de activități, salvați această linie:
REGadăugaHKCU\ Software\ Microsoft\ Windows\ Versiune curentă\ Politici\ Sistem

/ vDisableTaskMgr / tREG_ DWORD / d 0 / f

Porniți în modul sigur cu suport pentru linia de comandă (există o astfel de opțiune de pornire în meniu), introduceți această linie și apăsați Enter.
Ar trebui să apară un mesaj care să indice că comanda a fost finalizată cu succes.
Reporniți în mod normal. Managerul de activități ar trebui să înceapă.

Folosind o metodă similară, puteți „readuce la viață” editorul de registry. Regedit. Pentru a face acest lucru, trebuie să introduceți această linie:

REG adăugați HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

În acest fel, puteți dezactiva toate încărcările automate:

REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run /va /f

Scanați sistemul cu Dr.Web CureIt.

P.S. Dacă încă nu v-ați confruntat cu virusul, descrieți problema în comentarii, cu siguranță voi încerca să vă ajut și puteți adăuga problema dvs. la articol.