Thực đơn
trang chủHướng dẫn

Máy tính chặn biểu ngữ. Chúng tôi loại bỏ virus biểu ngữ theo nhiều cách khác nhau

Virus máy tính đang trở nên tinh vi hơn mỗi năm. Một số trong số chúng đóng vai trò là nguồn tống tiền mọi người, trong khi một số khác nhằm mục đích phá hủy hệ thống và đánh cắp dữ liệu. Có một loại lây nhiễm máy tính quảng cáo tài nguyên Internet và chỉ đơn giản là can thiệp vào hoạt động bình thường của PC. Phần lớn các loại virus ít nguy hiểm nhất được thể hiện bằng các biểu ngữ. Đây là thư rác phổ biến nhất nhưng nó có thể gây ra nhiều rắc rối. Làm thế nào để loại bỏ một biểu ngữ trong trường hợp này hay trường hợp khác? Chúng ta sẽ phải tìm câu trả lời cho câu hỏi này hơn nữa. Ngoài ra, cần nghiên cứu tất cả các cách để bảo vệ hệ điều hành và những nơi mà bạn có thể “nhặt” vi-rút biểu ngữ.

Nguy hiểm đang đến gần

Trước tiên, chúng ta hãy tìm hiểu những nguồn lây nhiễm "lây nhiễm" máy tính. Xét cho cùng, việc ngăn ngừa nhiễm trùng PC luôn dễ dàng hơn là chữa khỏi hệ điều hành.

Ngày nay, thư rác, Trojan và các loại virus khác có thể xâm nhập:

  • bằng cách phân phát thư qua email;
  • khi truy cập một số trang web nhất định;
  • khi sử dụng chương trình hacker;
  • trong khi tải tập tin;
  • bằng cách cài đặt phần mềm từ các nguồn không đáng tin cậy.

Đây là danh sách phổ biến nhất về những nơi có thể gây nguy hiểm cho người dùng. Ngoài ra, vi-rút hiện được phân phối tích cực thông qua torrent và do đó, bạn nên thận trọng khi sử dụng phần mềm đó.

Các loại virus

Làm thế nào để loại bỏ một biểu ngữ? Trước khi thực hiện hành động quyết định, người dùng phải tìm hiểu xem mình đang phải đối mặt với loại bệnh nhiễm trùng cụ thể nào. Thuật toán hành động tiếp theo sẽ phụ thuộc vào điều này.

Người dùng phàn nàn về các loại biểu ngữ sau:

  • với yêu cầu gửi tiền vào điện thoại;
  • đề nghị gửi SMS trả phí;
  • yêu cầu bổ sung tài khoản thông qua các thiết bị thanh toán;
  • đòi chuyển tiền qua mạng xã hội;
  • lấp đầy màn hình với các quảng cáo;
  • mở trang và biểu ngữ mới trong trình duyệt.

2 lựa chọn cuối cùng là loại virus ít nguy hiểm nhất. Chúng thường được gọi là thư rác. Loại bỏ chúng dễ dàng hơn bạn tưởng. Nhưng trước tiên hãy xem xét những tình huống khó khăn hơn.

Chế độ an toàn - Đăng nhập

Làm cách nào để loại bỏ các banner quảng cáo chặn truy cập vào hệ điều hành? Thông thường, các chương trình như vậy cần có tiền để đăng nhập vào Windows. Nhưng ngay cả sau khi tiền được ghi có, việc mở khóa sẽ không diễn ra. Sau khi khởi động lại máy tính, người dùng sẽ nhìn thấy banner tương tự.

Bạn có thể thoát khỏi nhiễm trùng như vậy theo nhiều cách khác nhau. Ví dụ: bằng cách sử dụng Chế độ an toàn của Windows. Người dùng sẽ cần:

  1. Khởi động lại máy tính của bạn hoặc chỉ bật nó lên.
  2. Trong quá trình tải nhấn F8.
  3. Chọn dòng "Chế độ an toàn..." trong danh sách xuất hiện. Phần có nhãn "dòng lệnh" là bắt buộc.
  4. Mở Bắt đầu và nhập regedit vào thanh tìm kiếm.
  5. Chọn dịch vụ thích hợp và nhấn "Enter".

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon.

Làm thế nào để loại bỏ một biểu ngữ? Sau các bước này, người dùng sẽ phải tiến hành kiểm tra kỹ lưỡng thông tin.

Kiểm tra dữ liệu

Nó nói về cái gì vậy? Sau khi đi theo đường dẫn đã chỉ định trước đó, bạn cần thấy rằng các cửa sổ tương ứng chứa các giá trị sau:

Shell - có dòng chữ “explorer.exe” và chỉ có vậy;

Userinit - ở đây văn bản phải là “C:\Windows\system32\userinit.exe”.

Đây là con đường:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Bất cứ điều gì tìm thấy ở đây sẽ bị xóa. Sau khi hoàn thành tác vụ, người dùng sẽ cần xóa tất cả các thao tác chưa hiểu tại các địa chỉ sau:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce;

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Nhưng điều này sẽ không đủ. Để loại bỏ banner ransomware, bạn cần dọn dẹp hệ thống. Làm thế nào để làm nó?

Về việc dọn dẹp hệ điều hành ở chế độ an toàn

Không có gì đặc biệt hoặc khó hiểu về thủ tục. Nó là đủ để làm theo các hướng dẫn cơ bản.

  1. Mở dịch vụ "regedit" theo nguyên tắc được mô tả trước đó.
  2. Viết lệnh cleanmgr.
  3. Chọn phân vùng mà hệ điều hành được cài đặt.
  4. Quét nó.
  5. Chọn tất cả các hộp ngoại trừ “Tệp sao lưu…”.
  6. Bấm vào "OK".

Tất cả những gì còn lại là chờ đợi. Trong vòng vài phút người dùng sẽ có quyền truy cập vào hệ điều hành. Nhưng đây không phải là lý do để vui mừng. Rốt cuộc, thông qua các hành động được mô tả, rất có thể virus đã bị vô hiệu hóa. Bây giờ chúng ta cần phải thoát khỏi nó.

Loại bỏ ransomware bị vô hiệu hóa

Làm cách nào để xóa biểu ngữ khỏi máy tính của bạn? Để dọn sạch hệ điều hành khỏi virus bị vô hiệu hóa, ngày nay bạn có thể sử dụng thêm các tiện ích miễn phí. Hiện có rất nhiều trong số họ. Chúng hoạt động theo nguyên tắc của một chương trình chống vi-rút. Chỉ cần khởi chạy chương trình, quét và loại bỏ các đối tượng nguy hiểm là đủ. Nếu có thể, bạn có thể xử lý phần mềm hoặc “sửa” nó một cách tự động.

Để loại bỏ virus ransomware được trình bày dưới dạng biểu ngữ, tốt hơn hết bạn nên sử dụng các chương trình sau:

  • "AntiWinLockerCD";
  • Tiện ích AVZ.

Phần mềm này cực kỳ dễ học. Ngay cả một đứa trẻ cũng có thể xử lý được. Bây giờ đã rõ cách loại bỏ biểu ngữ ransomware.

Kaspersky để được trợ giúp

Nhưng đây chỉ là một lựa chọn để phát triển các sự kiện. Người dùng hiện đại có thể sử dụng nhiều phương pháp khác nhau để xử lý máy tính của họ.

Bạn có thể vô hiệu hóa vi-rút ransomware và loại bỏ nó bằng cách sử dụng tiện ích “Deblocker” của Kaspersky. Đây là một dịch vụ miễn phí giúp loại bỏ các biểu ngữ khác nhau một cách nhanh chóng và dễ dàng. Điều chính là người dùng có quyền truy cập vào trình duyệt Internet. Nhân tiện, các hoạt động có thể được thực hiện từ một máy tính không bị nhiễm virus.

Thuật toán hành động được giảm xuống các giai đoạn sau:

  1. Mở trang web trong bất kỳ trình duyệt nào sms.kaspersky.ru.
  2. Cho biết trong trường thích hợp số điện thoại hoặc tài khoản được chỉ định của kẻ tống tiền.
  3. Nhập mã bạn được yêu cầu gửi.
  4. Bấm vào nút "Nhận mã...".
  5. Hãy thử tất cả các mã có thể được phát hành.

Đó là tất cả. Bằng cách tìm kiếm thông qua các mã có sẵn, người dùng sẽ có thể loại bỏ vi-rút ransomware.

Tấn công trình duyệt

Làm cách nào để xóa biểu ngữ bật lên trong trình duyệt? Các thuật toán hành động được đề xuất trước đây giúp dọn dẹp PC của bạn khỏi ransomware. Nhưng hầu hết mọi người thường xuyên gặp phải thư rác. Nó mở các quảng cáo và biểu ngữ trong trình duyệt, đánh cắp dữ liệu cá nhân của công dân, đồng thời tải bộ xử lý trung tâm của máy tính.

Theo đó, virus sẽ phải bị loại bỏ. Nhưng điều này có thể được thực hiện theo những cách khác nhau. Tiếp theo chúng ta sẽ xem xét các tình huống phổ biến nhất. Các mẹo được đề xuất sẽ giúp ngay cả người dùng mới làm quen nhanh chóng khắc phục tình trạng này.

Phần mềm bổ sung đi!

Người dùng sẽ phải:

  1. Mở "Bắt đầu" - "Bảng điều khiển".
  2. Chọn "Xóa chương trình ...".
  3. Kiểm tra danh sách hiển thị trên màn hình.
  4. Đánh dấu tất cả các thành phần đáng ngờ và không cần thiết. Ví dụ: "Baidu" hoặc "Sòng bạc Vulcan".
  5. Nhấp chuột phải và nhấp vào nút “Xóa” trong danh sách thả xuống.
  6. Làm theo các hướng dẫn trên màn hình để hoàn tất trình hướng dẫn gỡ cài đặt.

Giai đoạn đầu tiên của việc chống thư rác trên PC đã hoàn thành. Cái gì tiếp theo?

Tiến trình và virus

Bây giờ điều đáng suy nghĩ là những tiến trình nào đang chạy trong hệ điều hành. Một số trong số họ có thể độc hại. Nếu bạn không tắt chúng thì sẽ chẳng ích gì khi nghĩ đến cách xóa các biểu ngữ quảng cáo trong trình duyệt của bạn. Các hoạt động sẽ không dẫn đến kết quả cuối cùng - sau lần khởi động lại PC đầu tiên, thư rác sẽ được khôi phục.

Làm cách nào để xóa biểu ngữ khỏi máy tính của bạn? Các chương trình có bị gỡ bỏ không? Sau đó, bạn cần:

  1. Nhấn Ctrl + Alt + Del trên bàn phím của bạn.
  2. Chọn dịch vụ "Trình quản lý tác vụ".
  3. Chuyển đến tab "Quy trình".
  4. Chọn bằng con trỏ tất cả các hoạt động đáng ngờ và không rõ ràng.
  5. Nhấn nút "Hoàn tất...".

Một cảnh báo sẽ xuất hiện trên màn hình. Nó tuyên bố rằng việc chấm dứt các quá trình có thể làm gián đoạn hoạt động của HĐH. Sau khi đồng ý với điều kiện, người dùng phải dừng các giao dịch đáng ngờ.

Xóa bộ nhớ cache và lịch sử

Làm cách nào để xóa banner trên trình duyệt? Đây không phải là thao tác đơn giản nhất nhưng khá dễ tiếp cận. Đôi khi chỉ cần xóa lịch sử trong trình duyệt Internet cũng như xóa bộ nhớ đệm là đủ.

Trong tất cả các trình duyệt, bạn có thể tìm thấy danh sách các trang đã truy cập trong cài đặt. Ví dụ: có thể thực hiện các hành động sau:

  1. Mở cài đặt trong Chrome hoặc Yandex.
  2. Chuyển đến khối "Lịch sử".
  3. Nhấp vào nút "Xóa lịch sử".
  4. Chọn các hộp bên cạnh “Tất cả lịch sử” và “Xóa bộ nhớ cache”.

Ở một số phiên bản trình duyệt Internet, sau khi nhập cài đặt, bạn phải tìm phần “Cài đặt nâng cao”. Bạn có thể tìm thấy cả dữ liệu lịch sử và bộ nhớ đệm trong đó.

Và việc dọn dẹp các phân vùng được đề cập bao gồm việc tìm kiếm và xóa thư mục có tại:

C:\Tài liệu và Cài đặt\tên người dùng\Dữ liệu ứng dụng\Opera.

Mozilla là một trình duyệt Internet phổ biến khác. Trong đó các thông số được reset như sau:

  1. Đi tới cài đặt trình duyệt.
  2. Mở menu Trợ giúp.
  3. Click vào dòng “Thông tin giải pháp…”.
  4. Bấm vào dòng chữ "Đặt lại...".

Bây giờ tất cả những gì còn lại là khởi động lại trình duyệt. Mọi thứ đang hoạt động? Sau đó, bạn không cần phải làm gì khác. Nhưng nếu quảng cáo và biểu ngữ vẫn xuất hiện thì sao?

Thuộc tính phím tắt

Ví dụ: một số người dùng thấy hữu ích khi kiểm tra thuộc tính phím tắt của trình duyệt mạng. Để xóa quảng cáo biểu ngữ, một người sẽ phải:

  1. Chọn phím tắt cho trình duyệt bạn đang sử dụng.
  2. Nhấp chuột phải vào nó.
  3. Chuyển đến "Thuộc tính".
  4. Trong khối "Chung", hãy nhìn vào dòng "Đối tượng".
  5. Xóa mọi thứ được ghi sau tệp thực thi (định dạng .exe) bằng tên của trình duyệt.
  6. Lưu thay đổi.

Các bước này phù hợp với mọi chương trình truy cập Internet. Sau chúng, tốt hơn là khởi động lại máy tính.

Máy chủ và tinh thể rõ ràng

Làm cách nào để xóa biểu ngữ khỏi máy tính của bạn? Một số virus được đăng ký trong tập tin máy chủ. Vì vậy, bạn sẽ phải làm việc với anh ấy một chút.

Người dùng cần truy cập:

C:\Windows\System32\drivers\etc.

  1. Mở tệp "Máy chủ" bằng notepad.
  2. Xóa mọi thứ được viết trên tài liệu.
  3. Lưu tập tin đã sửa đổi.
  4. Xóa tất cả "Máy chủ" trùng lặp nếu có.

Trong một số trường hợp, việc chọn tài liệu được đề cập và xóa nó sẽ dễ dàng hơn bằng cách giữ nút Shift.

Phần mềm chống vi-rút đến giải cứu

Bạn cần tìm cách xóa biểu ngữ khỏi Yandex? Nếu những lời khuyên trên không mang lại kết quả, bạn sẽ phải tiếp tục. Ví dụ: bạn có thể quét máy tính của mình để tìm vi-rút.

Để thực hiện việc này, bạn chỉ cần khởi chạy hệ thống chống vi-rút và nhấp vào nút “Quét sâu”. Bất kỳ phần mềm nào cũng được - Kaspersky, NOD32 và Avast. Sau khi thủ tục hoàn tất, người đó sẽ cần phải xử lý tất cả các vật thể nguy hiểm tiềm tàng. Và những gì không đáp ứng với điều trị nên được loại bỏ.

Các hoạt động như vậy được kích hoạt thông qua các biện pháp kiểm soát chống vi-rút tiêu chuẩn. Do đó, người dùng không cần phải có kỹ năng hoặc kiến ​​thức.

Sổ đăng ký máy tính phải sạch sẽ

Chúng tôi đã tìm ra cách loại bỏ biểu ngữ. Những lời khuyên nào khác sẽ giúp bạn đối phó với nhiệm vụ này?

Để tự động dọn dẹp sổ đăng ký máy tính của bạn, bạn sẽ cần phải:

  1. Khởi chạy CCleaner.
  2. Bấm vào phần "Đăng ký".
  3. Nhấp vào nút "Phân tích".
  4. Chọn tùy chọn "Dọn dẹp". Nó sẽ xuất hiện sau khi quét hệ thống.

Sau khi thủ tục hoàn tất, sổ đăng ký sẽ sạch sẽ. Bạn có thể khởi động lại hệ điều hành và xem có kết quả gì không. Điều quan trọng là tất cả các trình duyệt đều phải đóng khi làm việc với tiện ích này.

Biện pháp cực đoan

Nhưng đó không phải là tất cả. Để trả lời cách xóa biểu ngữ bật lên trong trình duyệt, một số người sẵn sàng thực hiện các biện pháp cực đoan. Thông thường nó không đến với họ, nhưng cũng không cần thiết phải loại trừ những tình huống như vậy. Nó nói về cái gì vậy?

Để loại bỏ bất kỳ vi-rút nào trong trình duyệt, bạn chỉ cần xóa trình duyệt Internet cùng với tất cả dữ liệu người dùng. Bằng cách cài đặt lại (không nhầm lẫn với cập nhật) phần mềm, bạn sẽ có thể tiếp tục làm việc với phần mềm đang hoạt động. Trước khi gỡ cài đặt, tốt hơn hết bạn nên tạo bản sao các dấu trang của mình, nếu có.

Trong một số trường hợp, hoạt động của hệ điều hành được khôi phục sau khi khôi phục hệ điều hành. Hoạt động được thực hiện bằng các công cụ Windows tiêu chuẩn. Bạn có thể tìm thấy phần mong muốn trong “Bắt đầu”, trong thư mục “Tất cả chương trình” - “Phụ kiện” - “Công cụ hệ thống”. Làm theo hướng dẫn trên màn hình, “nạn nhân” sẽ khôi phục hệ thống sau vài phút.

Cách cuối cùng để loại bỏ các biểu ngữ và vi-rút nói chung là cài đặt lại hoàn toàn Windows. Nó yêu cầu một đĩa cài đặt. Trong quá trình hoạt động, nên định dạng hoàn toàn ổ cứng của “máy”. Đây là cách duy nhất để loại bỏ 100% tất cả các bệnh nhiễm trùng máy tính hiện có.

Tôi yêu cầu bạn có thể tham gia vào vấn đề của tôi. Câu hỏi của tôi là thế này: Cách xóa biểu ngữ: “Gửi SMS”, hệ điều hành Windows 7. Nhân tiện, hệ thống thứ hai trên máy tính Windows XP của tôi cũng bị chặn bởi một biểu ngữ cách đây một tháng, tôi thật là một người dùng đáng tiếc. Tôi không thể vào chế độ an toàn, nhưng tôi đã vào được Khắc phục sự cố máy tính và từ đó chạy Khôi phục Hệ thống và xuất hiện lỗi - Không có điểm khôi phục nào trên đĩa hệ thống của máy tính này.

Không thể tìm thấy mã mở khóa trên trang web Dr.Web cũng như ESET. Gần đây, tôi đã cố gắng xóa biểu ngữ như vậy khỏi một người bạn bằng Đĩa khôi phục hệ thống ESET NOD32 LiveCD, nhưng trong trường hợp của tôi, điều đó không giúp ích gì. Tôi cũng đã thử Dr.Web LiveCD. Tôi đặt đồng hồ trong BIOS tiến lên một năm, biểu ngữ không biến mất. Trên nhiều diễn đàn khác nhau trên Internet, bạn nên sửa các tham số UserInit và Shell trong khóa đăng ký HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Nhưng làm sao tôi đến được đó? Sử dụng LiveCD? Hầu như tất cả các đĩa LiveCD không kết nối với hệ điều hành và các hoạt động như chỉnh sửa sổ đăng ký, xem các đối tượng khởi động cũng như nhật ký sự kiện không có sẵn từ đĩa đó hoặc tôi nhầm.

Nói chung, có thông tin về cách xóa biểu ngữ trên Internet, nhưng hầu hết là nó không đầy đủ và đối với tôi, có vẻ như nhiều người sao chép thông tin này ở đâu đó và xuất bản trên trang web của họ, để nó ở đó, nhưng hãy hỏi cho họ biết mọi chuyện diễn ra như thế nào, họ sẽ nhún vai. Tôi nghĩ trường hợp này không phải của bạn nhưng nói chung là tôi rất muốn tự mình tìm và diệt virus, cài lại hệ thống chán quá. Và câu hỏi cuối cùng - có sự khác biệt cơ bản nào trong phương pháp xóa biểu ngữ ransomware trong hệ điều hành Windows XP và Windows 7. Bạn có thể giúp đỡ không? Sergey.

Cách xóa biểu ngữ

Có khá nhiều cách giúp bạn loại bỏ vi-rút, nó còn được gọi là Trojan.Winlock, nhưng nếu bạn là người mới sử dụng, tất cả các phương pháp này sẽ đòi hỏi sự kiên nhẫn, sức chịu đựng và hiểu biết của bạn rằng bạn đã gặp phải một kẻ thù nghiêm trọng. , nếu bạn không sợ thì hãy bắt đầu.

  • Bài viết hóa ra dài nhưng mọi thứ được nói thực sự hoạt động cả trên hệ điều hành Windows 7 và Windows XP, nếu có sự khác biệt ở đâu đó, tôi chắc chắn sẽ lưu ý điểm này. Điều quan trọng nhất cần biết là xóa biểu ngữ và lấy lại hệ điều hành nhanh chóng, không phải lúc nào nó cũng hoạt động, nhưng việc bỏ tiền vào tài khoản của kẻ tống tiền cũng vô ích, bạn sẽ không nhận lại được bất kỳ mã mở khóa nào, vì vậy có động cơ để đấu tranh cho hệ thống của bạn.
  • Các bạn ơi, trong bài viết này chúng ta sẽ làm việc với môi trường khôi phục Windows 7, hay chính xác hơn là với dòng lệnh của môi trường khôi phục. Tôi sẽ cung cấp cho bạn các lệnh cần thiết, nhưng nếu bạn khó nhớ chúng thì bạn có thể. Điều này sẽ làm cho công việc của bạn dễ dàng hơn nhiều.

Hãy bắt đầu với cái đơn giản nhất và kết thúc bằng cái phức tạp. Cách xóa banner bằng chế độ an toàn. Nếu việc lướt Internet của bạn kết thúc không thành công và bạn vô tình cài đặt mã độc, thì bạn cần bắt đầu với điều đơn giản nhất - thử vào Chế độ an toàn (thật không may, trong hầu hết các trường hợp, bạn sẽ không thành công, nhưng nó đáng để thử), nhưng Bạn chắc chắn sẽ có thể vào(nhiều cơ hội hơn), bạn cần thực hiện điều tương tự ở cả hai chế độ, hãy xem xét cả hai tùy chọn.

Trong giai đoạn đầu tải máy tính, hãy nhấn F-8, sau đó chọn, nếu bạn đăng nhập được vào đó thì có thể nói bạn rất may mắn và nhiệm vụ được đơn giản hóa cho bạn. Điều đầu tiên bạn cần thử là quay ngược thời gian bằng cách sử dụng các điểm khôi phục. Đối với những người không biết cách sử dụng khôi phục hệ thống, hãy đọc chi tiết tại đây -. Nếu khôi phục hệ thống không hoạt động, hãy thử cách khác.

Trong dòng Run, gõ msconfig ,

Bạn cũng không nên có bất cứ thứ gì trong thư mục. Hoặc nó nằm ở

C:\Users\Tên người dùng\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Lưu ý quan trọng: Các bạn ơi, trong bài viết này bạn sẽ phải xử lý chủ yếu các thư mục có thuộc tính Ẩn (ví dụ: AppData, v.v.), vì vậy ngay khi vào được Chế độ an toàn hoặc Chế độ an toàn với hỗ trợ dòng lệnh, bật ngay trong hệ thống hiển thị các tập tin và thư mục ẩn, nếu không, bạn sẽ không nhìn thấy các thư mục cần thiết chứa vi-rút. Nó rất dễ làm.

Windows XP
Mở bất kỳ thư mục nào và nhấp vào menu “Công cụ”, chọn “Tùy chọn thư mục”, sau đó chuyển đến tab “Xem”. Sau đó, ở dưới cùng, chọn mục “” và nhấp vào OK

Windows 7
Bắt đầu -> Bảng điều khiển->Xem: Danh mục -Biểu tượng nhỏ ->Tùy chọn thư mục ->Xem. Ở phía dưới cùng, hãy chọn hộp “ Hiển thị các tập tin và thư mục ẩn».

Vì vậy, hãy quay trở lại bài viết. Hãy nhìn vào thư mục, bạn không nên có bất cứ thứ gì trong đó.

Đảm bảo rằng trong thư mục gốc của ổ đĩa (C :) không có thư mục và tệp lạ hoặc đáng ngờ, chẳng hạn như có tên khó hiểu OYSQFGVXZ.exe, nếu có, bạn cần xóa chúng.

Bây giờ hãy chú ý: Trong Windows XP, chúng tôi xóa các tệp đáng ngờ (ví dụ hiển thị ở trên trong ảnh chụp màn hình) có tên lạ và

với phần mở rộng .exe từ các thư mục

C:\
C:\Tài liệu và Cài đặt\Tên người dùng\Dữ liệu ứng dụng
C:\Tài liệu và Cài đặt\Tên người dùng\Cài đặt cục bộ
C:\Tài liệu và Cài đặt\Tên người dùng\Cài đặt cục bộ\Temp- xóa mọi thứ ở đây, đây là thư mục tập tin tạm thời.

Windows 7 có mức độ bảo mật tốt và trong hầu hết các trường hợp sẽ không cho phép các chương trình độc hại thực hiện thay đổi đối với sổ đăng ký và phần lớn vi-rút cũng cố gắng xâm nhập vào thư mục tệp tạm thời:
C:\USERS\tên người dùng\AppData\Local\Temp, từ đây bạn có thể chạy tệp thực thi.exe. Ví dụ: tôi mang theo một máy tính bị nhiễm virus, trên ảnh chụp màn hình chúng tôi thấy tệp vi-rút 24kkk290347.exe và một nhóm tệp khác do hệ thống tạo ra gần như cùng lúc với vi-rút, mọi thứ cần phải được xóa.

Không có gì đáng ngờ trong đó, nếu có, chúng tôi sẽ xóa chúng.

Và cũng hãy chắc chắn:

Trong hầu hết các trường hợp, các bước trên sẽ loại bỏ banner và cho phép hệ thống khởi động bình thường. Sau khi khởi động bình thường quét toàn bộ máy tính của bạn bằng trình quét chống vi-rút miễn phí với các bản cập nhật mới nhất - Dr.Web CureIt, tải xuống từ trang web Dr.Web.

  • Lưu ý: Bạn có thể ngay lập tức lây nhiễm lại vi-rút vào hệ thống khởi động bình thường bằng cách truy cập trực tuyến, vì trình duyệt sẽ mở tất cả các trang của các trang web bạn đã truy cập gần đây, trong số đó đương nhiên sẽ có một trang vi-rút và cũng có thể có tệp vi-rút. trong các thư mục tạm thời của trình duyệt. Chúng tôi tìm thấy và, mà bạn đã sử dụng gần đây tại: C:\Users\Tên người dùng\AppData\Roaming\Tên trình duyệt, (ví dụ như Opera hoặc Mozilla) và ở một nơi khác C:\Users\Username\AppData\Local\Tên trình duyệt của bạn, trong đó (C:) là phân vùng chứa hệ điều hành được cài đặt. Tất nhiên, sau hành động này, tất cả dấu trang của bạn sẽ biến mất, nhưng nguy cơ bị nhiễm lại sẽ giảm đáng kể.

Chế độ an toàn với hỗ trợ dòng lệnh.

Nếu sau tất cả những điều này, biểu ngữ của bạn vẫn còn tồn tại, đừng bỏ cuộc và hãy đọc tiếp. Hoặc ít nhất hãy đến giữa bài viết và đọc thông tin đầy đủ về cách sửa cài đặt đăng ký trong trường hợp bị nhiễm ransomware banner.

Tôi nên làm gì nếu không thể vào chế độ an toàn? Thử nó Chế độ an toàn với hỗ trợ dòng lệnh, ở đó chúng tôi làm điều tương tự, nhưng có một sự khác biệt trong các lệnh Windows XP và Windows 7.

Áp dụng Khôi phục hệ thống.
Trong Windows 7, nhập rstrui.exe và nhấn Enter - chúng ta đến cửa sổ Khôi phục Hệ thống.

Hoặc thử gõ lệnh: explorer - một cái gì đó giống như máy tính để bàn sẽ tải, nơi bạn có thể mở máy tính của tôi và thực hiện mọi thứ tương tự như ở chế độ an toàn - kiểm tra máy tính của bạn xem có vi-rút không, xem thư mục Khởi động và thư mục gốc của ổ đĩa (C :), cũng như các tệp tạm thời trong thư mục: chỉnh sửa sổ đăng ký nếu cần, v.v.

Để vào Windows XP System Restore, hãy nhập dòng lệnh - %systemroot%\system32\restore\rstrui.exe,

Để truy cập Windows XP trong Explorer và cửa sổ My Computer, như trong phần bảy, chúng ta gõ lệnh explorer.


ở đây trước tiên bạn cần gõ lệnh explorer và bạn sẽ được đưa thẳng đến màn hình nền. Nhiều người không thể chuyển bố cục bàn phím tiếng Nga mặc định sang tiếng Anh trong dòng lệnh bằng cách sử dụng tổ hợp alt-shift, sau đó thử shift-alt theo cách khác.

Ở đây hãy vào menu Bắt đầu, sau đó Chạy.


sau đó chọn Khởi động - xóa mọi thứ khỏi nó, sau đó thực hiện mọi việc bạn đã làm trong thư mục gốc của ổ đĩa (C:), xóa vi-rút khỏi thư mục tệp tạm thời: C:\USERS\tên người dùng\AppData\Local\Temp, chỉnh sửa sổ đăng ký nếu cần thiết ( mọi thứ được mô tả chi tiết ở trên).

Khôi phục hệ thống. Mọi thứ sẽ khác một chút đối với chúng tôi nếu bạn không thể vào Chế độ an toàn và Chế độ an toàn với Hỗ trợ dòng lệnh. Điều này có nghĩa là bạn và tôi sẽ không thể sử dụng Khôi phục Hệ thống phải không? Không, điều này không có nghĩa là bạn có thể khôi phục bằng cách sử dụng các điểm khôi phục, ngay cả khi hệ điều hành của bạn không khởi động ở bất kỳ chế độ nào. Trong Windows 7, bạn cần sử dụng môi trường recovery; trong giai đoạn đầu khởi động máy tính, nhấn F-8 và chọn từ menu Khắc phục sự cố máy tính của bạn,

Trong cửa sổ Tùy chọn khôi phục, chọn Khôi phục hệ thống một lần nữa.

Bây giờ hãy chú ý, nếu khi nhấn menu F-8 Xử lý sự cố không khả dụng, điều đó có nghĩa là các tệp chứa môi trường khôi phục Windows 7 của bạn bị hỏng.

  • Có thể làm được mà không cần Live CD? Về nguyên tắc là có, hãy đọc bài viết đến cuối.

Bây giờ hãy nghĩ xem chúng ta sẽ làm gì nếu không thể khởi động Khôi phục Hệ thống bằng bất kỳ cách nào hoặc nó đã bị vô hiệu hóa hoàn toàn. Trước tiên, hãy xem cách xóa biểu ngữ bằng mã mở khóa, được cung cấp bởi các công ty phát triển phần mềm chống vi-rút - Dr.Web, cũng như ESET NOD32 và Kaspersky Lab, trong trường hợp này, bạn sẽ cần sự trợ giúp của bạn. Điều cần thiết là một trong số họ phải đến dịch vụ mở khóa, ví dụ Dr.Web

https://www.drweb.com/xperf/unlocker/

http://www.esetnod32.ru/.support/winlock/

cũng như Kaspersky Lab

http://sms.kaspersky.ru/ và nhập vào trường này số điện thoại mà bạn cần chuyển tiền để mở khóa máy tính và nhấp vào nút - Tìm kiếm mã. Nếu bạn tìm thấy mã mở khóa, hãy nhập mã đó vào cửa sổ biểu ngữ và nhấp vào Kích hoạt hoặc bất cứ điều gì nó nói, biểu ngữ sẽ biến mất.

Một cách đơn giản khác để xóa biểu ngữ là sử dụng đĩa khôi phục hoặc vì chúng còn được gọi là cứu hộ từ và. Toàn bộ quá trình từ tải xuống, ghi hình ảnh vào đĩa CD trắng và kiểm tra vi-rút máy tính của bạn được mô tả chi tiết trong bài viết của chúng tôi, bạn có thể theo các liên kết, chúng tôi sẽ không đề cập đến vấn đề này. Nhân tiện, đĩa cứu dữ liệu từ các công ty chống vi-rút không tệ chút nào, chúng có thể được sử dụng như LiveCD - để thực hiện nhiều thao tác tệp khác nhau, chẳng hạn như sao chép dữ liệu cá nhân từ hệ thống bị nhiễm hoặc chạy tiện ích chữa bệnh từ Dr.Web - Dr.Web CureIt - từ ổ đĩa flash. Và trong đĩa cứu hộ ESET NOD32 có một điều tuyệt vời đã hơn một lần giúp ích cho tôi - Userinit_fix, sửa các cài đặt đăng ký quan trọng trên máy tính bị nhiễm banner - Userinit, Branch HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon .

Làm thế nào để khắc phục tất cả điều này bằng tay, hãy đọc tiếp.
Chà, các bạn của tôi, nếu có ai khác đang đọc thêm bài viết, thì tôi rất mừng cho bạn, bây giờ cuộc vui bắt đầu, nếu bạn tìm hiểu và đặc biệt là áp dụng thông tin này vào thực tế, nhiều người bình thường mà bạn thoát khỏi biểu ngữ ransomware sẽ hoàn toàn coi bạn là một hacker thực sự.

Cá nhân chúng ta đừng tự lừa dối mình, mọi thứ được mô tả ở trên đã giúp tôi đúng một nửa số trường hợp máy tính của tôi bị chặn bởi vi-rút chặn - Trojan.Winlock. Nửa còn lại yêu cầu xem xét vấn đề kỹ càng hơn, đó là điều chúng ta sẽ làm.
Trên thực tế, bằng cách chặn hệ điều hành của bạn, vẫn là Windows 7 hoặc Windows XP, vi-rút sẽ thực hiện các thay đổi đối với sổ đăng ký cũng như các thư mục Temp chứa các tệp tạm thời và thư mục C:\Windows->system32. Chúng ta phải sửa những thay đổi này. Đừng quên thư mục Start->All Programs->Startup. Bây giờ về tất cả điều này một cách chi tiết.

  • Hãy dành thời gian nhé các bạn, trước tiên tôi sẽ mô tả chính xác vị trí cần sửa, sau đó tôi sẽ chỉ cho bạn cách thức và bằng những công cụ nào.

Trong Windows 7 và Windows XP, biểu ngữ ransomware ảnh hưởng đến cùng tham số UserInit và Shell trong sổ đăng ký ở nhánh

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Lý tưởng nhất là họ nên như thế này:
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Kiểm tra mọi thứ bằng chữ cái, đôi khi bạn gặp thay vì userinit, chẳng hạn như usernit hoặc userlnlt.
Bạn cũng cần kiểm tra tham số AppInit_DLLs trong khóa đăng ký HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, nếu bạn tìm thấy thứ gì đó ở đó, chẳng hạn như C:\WINDOWS\SISTEM32\uvf.dll, tất cả những thứ này cần phải bị xóa.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, sẽ không có gì đáng nghi ngờ về họ.

Và cũng hãy chắc chắn:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (phải trống) và nói chung cũng không nên có gì thừa ở đây. Phân tích cú phápAutoexec phải bằng 1 .

Bạn cũng cần xóa MỌI THỨ khỏi các thư mục tạm thời (cũng có một bài viết về chủ đề này), nhưng trong Windows 7 và Windows XP, chúng nằm ở vị trí hơi khác một chút:

Windows 7:
C:\Users\Tên người dùng\AppData\Local\Temp. Virus đặc biệt thích định cư ở đây.
C:\Windows\Temp
C:\Windows\
Windows XP:
Từ:\Tài liệu và Cài đặt\Hồ sơ người dùng\Cài đặt cục bộ\Temp
Từ:\Tài liệu và Cài đặt\Hồ sơ người dùng\Cài đặt cục bộ\Tệp Internet tạm thời.
C:\Windows\Temp
C:\Windows\Tìm nạp trước
Sẽ không thừa khi xem thư mục C:\Windows->system32 trong cả hai hệ thống, tất cả các tệp kết thúc bằng .exe và dll có ngày máy tính của bạn bị nhiễm biểu ngữ. Những tập tin này cần phải được xóa.

Bây giờ hãy xem cách người mới bắt đầu và sau đó là người dùng có kinh nghiệm sẽ thực hiện tất cả những điều này. Hãy bắt đầu với Windows 7 và sau đó chuyển sang XP.

Làm cách nào để xóa biểu ngữ trong Windows 7 nếu Khôi phục Hệ thống bị tắt?

Hãy tưởng tượng trường hợp xấu nhất. Đăng nhập vào Windows 7 bị chặn bởi biểu ngữ ransomware. Khôi phục hệ thống bị vô hiệu hóa. Cách dễ nhất là vào hệ thống Windows 7 bằng đĩa khôi phục đơn giản (bạn có thể thực hiện trực tiếp trong hệ điều hành Windows 7 - được mô tả chi tiết trong bài viết của chúng tôi), bạn cũng có thể sử dụng đĩa cài đặt Windows 7 đơn giản hoặc bất kỳ đĩa cài đặt Windows 7 đơn giản nào. LiveCD. Khởi động vào môi trường recovery chọn System Restore rồi chọn dòng lệnh

và gõ –notepad vào đó, vào Notepad, sau đó vào File và Open.

Chúng ta đi vào trình khám phá thực sự, nhấp vào Máy tính của tôi.

Chúng tôi đi đến thư mục C:\Windows\System32\Config, ở đây chúng tôi chỉ ra Loại tệp - Tất cả các tệp và xem các tệp đăng ký của chúng tôi, chúng tôi cũng thấy thư mục RegBack,

trong đó, cứ sau 10 ngày, Trình lập lịch tác vụ sẽ tạo một bản sao lưu các khóa đăng ký - ngay cả khi bạn đã tắt Khôi phục Hệ thống. Những gì bạn có thể làm ở đây là xóa tệp PHẦN MỀM khỏi thư mục C:\Windows\System32\Config, thư mục này chịu trách nhiệm về tổ chức đăng ký HKEY_LOCAL_MACHINE\SOFTWARE; hầu hết virus thường thực hiện các thay đổi ở đây.

Và thay vào đó, hãy sao chép và dán một tệp có cùng tên PHẦN MỀM từ bản sao lưu của thư mục RegBack.

Trong hầu hết các trường hợp, điều này là đủ, nhưng nếu muốn, bạn có thể thay thế tất cả năm tổ hợp đăng ký từ thư mục RegBack trong thư mục Config: SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM.

Tiếp theo, chúng tôi thực hiện mọi thứ như đã viết ở trên - xóa các tệp khỏi thư mục tạm thời Temp, xem qua thư mục C:\Windows->system32 để tìm các tệp có phần mở rộng .exe và dll có ngày vào ngày bị lây nhiễm, và tất nhiên là xem xét tại nội dung của thư mục Khởi động.

Trong Windows 7 nó nằm ở:

C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Windows XP:

C:\Tài liệu và Cài đặt\Tất cả người dùng\Menu chính\Chương trình\Khởi động.

  • Người dùng có kinh nghiệm làm điều tương tự như thế nào, bạn nghĩ họ sử dụng đĩa khôi phục LiveCD hay Windows 7 đơn giản? Xa bạn bè, họ sử dụng một công cụ rất chuyên nghiệp - Phiên bản Bộ công cụ chẩn đoán và phục hồi của Microsoft (DaRT): 6.5 dành cho Windows 7- đây là tập hợp chuyên nghiệp các tiện ích nằm trên đĩa và được quản trị viên hệ thống cần thiết để nhanh chóng khôi phục các thông số quan trọng của hệ điều hành. Nếu bạn quan tâm đến công cụ này, hãy đọc bài viết của chúng tôi.

Nhân tiện, nó có thể kết nối hoàn hảo với hệ điều hành Windows 7. Bằng cách khởi động máy tính từ đĩa khôi phục Microsoft (DaRT), bạn có thể chỉnh sửa sổ đăng ký, gán lại mật khẩu, xóa và sao chép tệp, sử dụng khôi phục hệ thống, v.v. Không còn nghi ngờ gì nữa, không phải mọi LiveCD đều có chức năng như vậy.
Chúng tôi khởi động máy tính của mình từ cái này, vì nó còn được gọi là Đĩa khôi phục Microsoft (DaRT)... Chúng tôi từ chối khởi tạo kết nối mạng ở chế độ nền nếu chúng tôi không cần Internet.

Gán các ký tự ổ đĩa theo cách tương tự như trên hệ thống đích - chúng tôi nói Có, làm việc theo cách này sẽ thuận tiện hơn.

Tôi sẽ không mô tả tất cả các công cụ vì đây là chủ đề cho một bài viết lớn và tôi đang chuẩn bị nó.
Hãy sử dụng công cụ đầu tiên, Trình chỉnh sửa sổ đăng ký, một công cụ cho phép bạn làm việc với sổ đăng ký của hệ điều hành Windows 7 được kết nối.

Chúng tôi đi đến tham số Winlogon của nhánh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon và chỉ cần chỉnh sửa thủ công các tệp - Userinit và Shell. Bạn đã biết tầm quan trọng của chúng là gì.

Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Trong trường hợp của chúng tôi, chúng tôi cần xóa tất cả các thư mục Temp tạm thời; bạn đã biết có bao nhiêu thư mục và vị trí của chúng trong Windows 7 từ giữa bài viết.
Nhưng chú ý! Vì Bộ công cụ chẩn đoán và khôi phục của Microsoft được kết nối hoàn toàn với hệ điều hành của bạn, nên bạn sẽ không thể xóa, chẳng hạn như các tệp đăng ký -SAM, AN NINH, SOFTWARE, DEFAULT, SYSTEM, vì chúng đang được xử lý và vui lòng thực hiện các thay đổi .

Cách xóa banner trong Windows XP

Một lần nữa, vấn đề nằm ở công cụ, tôi khuyên bạn nên sử dụng ERD Commander 5.0 (liên kết đến bài viết trên), như tôi đã nói ở đầu bài viết, nó được thiết kế đặc biệt để giải quyết các vấn đề tương tự trong Windows XP. ERD Commander 5.0 sẽ cho phép bạn kết nối trực tiếp với hệ điều hành và thực hiện mọi thứ chúng tôi đã làm với Bộ công cụ chẩn đoán và phục hồi của Microsoft trong Windows 7.
Chúng tôi khởi động máy tính của mình từ đĩa khôi phục. Chúng tôi chọn tùy chọn đầu tiên - kết nối với hệ điều hành bị nhiễm.

Chọn sổ đăng ký.

Chúng tôi xem xét các tham số UserInit và Shell trong nhánh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Như tôi đã nói ở trên, chúng nên có ý nghĩa này.
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Ngoài ra, hãy xem HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs - nó sẽ trống.

Tiếp theo, vào Explorer và xóa mọi thứ khỏi thư mục Temp tạm thời.
Bạn có thể xóa biểu ngữ trong Windows XP bằng cách nào khác bằng ERD Commander (nhân tiện, phương pháp này có thể áp dụng cho bất kỳ Live CD nào). Bạn có thể thử thực hiện việc này ngay cả khi không kết nối với hệ điều hành. Tải xuống ERD Commander và làm việc mà không cần kết nối với Windows XP,

ở chế độ này, bạn và tôi sẽ có thể xóa và thay thế các tệp đăng ký vì chúng sẽ không tham gia vào công việc. Chọn Nhà thám hiểm.

Các tệp đăng ký trong hệ điều hành Windows XP nằm trong thư mục C:\Windows\System32\Config. Và bản sao lưu của các tệp đăng ký được tạo trong quá trình cài đặt Windows XP nằm trong thư mục sửa chữa, tại C:\Windows\repair.

Chúng ta làm tương tự, copy file PHẦN MỀM trước,

và sau đó bạn có thể thực hiện lần lượt các tệp đăng ký còn lại - SAM, SECURITY, DEFAULT, SYSTEM từ thư mục sửa chữa và thay thế chúng bằng các tệp tương tự trong thư mục C:\Windows\System32\Config. Thay thế tập tin? Chúng tôi đồng ý - Vâng.

Tôi muốn nói rằng trong hầu hết các trường hợp, chỉ cần thay thế một PHẦN MỀM là đủ. Khi bạn thay thế các tệp đăng ký từ thư mục sửa chữa, rất có thể hệ thống sẽ khởi động được, nhưng hầu hết những thay đổi bạn thực hiện sau khi cài đặt Windows XP sẽ bị mất. Hãy xem xét liệu phương pháp này có phù hợp với bạn không. Đừng quên xóa mọi thứ không quen thuộc khi khởi động. Về nguyên tắc, bạn không nên xóa ứng dụng khách MSN Messenger nếu cần.

Và cách cuối cùng hôm nay để loại bỏ banner ransomware bằng đĩa ERD Commander hoặc bất kỳ Live CD nào

Nếu bạn đã bật Khôi phục Hệ thống trong Windows XP nhưng không thể áp dụng nó, bạn có thể thử cách này. Chuyển đến thư mục C:\Windows\System32\Config chứa các tệp đăng ký.

Sử dụng thanh trượt để mở tên file đầy đủ và xóa SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM. Nhân tiện, trước khi xóa chúng, bạn có thể sao chép chúng ở đâu đó để đề phòng trường hợp bạn không biết. Bạn có thể muốn phát lại nó.

Tiếp theo chúng ta vào thư mục Thông tin về khối lượng hệ thống\_restore(E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2)\RP\ảnh chụp nhanh, ở đây chúng tôi sao chép các tệp là bản sao lưu của nhánh đăng ký HKEY_LOCAL_MACHINE\
ĐĂNG KÝ_MACHINE\SAM
REGISTRY_MACHINE\BẢO MẬT
ĐĂNG KÝ_MACHINE\PHẦN MỀM
ĐĂNG KÝ_MACHINE\DEFAULT
ĐĂNG KÝ_MACHINE\HỆ THỐNG

Dán chúng vào thư mục C:\Windows\System32\Config

Sau đó, chúng ta vào thư mục Config và đổi tên chúng, xóa REGISTRY_MACHINE\, từ đó để lại các tệp đăng ký mới SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM.

Sau đó, chúng ta xóa nội dung của thư mục Temp và Prefetch, đồng thời xóa mọi thứ khỏi thư mục Khởi động như minh họa ở trên. Tôi sẽ rất vui nếu nó giúp được ai đó. Ngoài bài viết còn có một bài ngắn và thú vị, các bạn có thể đọc.

Có lẽ một trong những vấn đề phổ biến nhất mà người sửa chữa máy tính gặp phải là xóa banner khỏi màn hình nền. Trong hầu hết các trường hợp, cái gọi là biểu ngữ là một cửa sổ xuất hiện trước (thay vì) tải màn hình Windows XP hoặc Windows 7 và thông báo rằng máy tính của bạn đã bị khóa và để nhận được mã mở khóa, bạn cần chuyển 500, 1000 rúp hoặc số tiền khác vào một số điện thoại hoặc ví điện tử cụ thể. Bạn hầu như luôn có thể tự mình xóa biểu ngữ, điều mà chúng ta sẽ nói đến bây giờ.

Vui lòng không viết bình luận: “Mã số 89xxxxx là gì?” Tất cả các dịch vụ đề xuất mã mở khóa bằng số đều được nhiều người biết đến và đây không phải là nội dung mà bài viết này đề cập đến. Hãy nhớ rằng trong hầu hết các trường hợp, đơn giản là không có mã: người tạo ra chương trình độc hại này chỉ quan tâm đến việc nhận tiền của bạn và việc cung cấp mã mở khóa trong biểu ngữ cũng như phương thức chuyển mã đó cho bạn là công việc không cần thiết và không cần thiết đối với anh ta.

Trang web trình bày mã mở khóa có sẵn trong một bài viết khác về.

Các loại biểu ngữ ransomware SMS

Nói chung, tôi đã tự mình đưa ra cách phân loại các loài để giúp bạn điều hướng các hướng dẫn này dễ dàng hơn, bởi vì nó bao gồm một số phương pháp để loại bỏ chúng và mở khóa máy tính, từ phương pháp đơn giản nhất và hoạt động được trong hầu hết các trường hợp đến những phương pháp phức tạp hơn, tuy nhiên, đôi khi được yêu cầu. Trung bình, cái gọi là biểu ngữ trông như thế này:

Vì vậy, phân loại biểu ngữ ransomware của tôi:

  • Đơn giản - chỉ cần xóa một số khóa đăng ký ở chế độ an toàn
  • Những cái phức tạp hơn một chút cũng hoạt động ở chế độ an toàn. Chúng cũng có thể được xử lý bằng cách chỉnh sửa sổ đăng ký, nhưng bạn sẽ cần LiveCD
  • Thực hiện các thay đổi đối với MBR của ổ cứng (được thảo luận ở phần cuối của hướng dẫn) - xuất hiện ngay sau màn hình chẩn đoán BIOS trước khi Windows bắt đầu tải. Đã xóa bằng cách khôi phục MBR (vùng khởi động đĩa cứng)

Xóa biểu ngữ ở chế độ an toàn bằng cách chỉnh sửa sổ đăng ký

Phương pháp này hoạt động trong phần lớn các trường hợp. Rất có thể, nó sẽ hoạt động. Vì vậy, chúng ta sẽ cần khởi động vào chế độ an toàn với sự hỗ trợ dòng lệnh. Để làm điều này, ngay sau khi bật máy tính, bạn sẽ cần nhấn mạnh phím F8 trên bàn phím cho đến khi xuất hiện menu chọn các tùy chọn khởi động như trong hình bên dưới.

Trong một số trường hợp, BIOS của máy tính có thể phản hồi với phím F8 bằng cách hiển thị menu riêng của nó. TRONG trong trường hợp này, nhấn Esc để đóng nó và nhấn F8 lần nữa.

Bạn nên chọn “Chế độ an toàn với hỗ trợ dấu nhắc lệnh” và đợi cho đến khi quá trình tải xuống hoàn tất, sau đó bạn sẽ thấy cửa sổ nhắc lệnh. Nếu Windows của bạn có nhiều tài khoản người dùng (ví dụ: Quản trị viên và Masha), thì khi tải, hãy chọn người dùng đã bắt được biểu ngữ.

Tại dấu nhắc lệnh, nhập regedit và nhấn Enter. Trình chỉnh sửa sổ đăng ký sẽ mở ra. Ở phía bên trái của trình chỉnh sửa sổ đăng ký, bạn sẽ thấy cấu trúc dạng cây của các phần và khi bạn chọn một phần cụ thể, ở phía bên phải bạn sẽ thấy tên tham số và họ giá trị. Chúng tôi sẽ tìm kiếm những tham số có giá trị đã được thay đổi bởi cái gọi là. một loại virus khiến biểu ngữ xuất hiện. Chúng luôn được viết vào cùng một phần. Vì vậy, đây là danh sách các tham số có giá trị cần được kiểm tra và sửa nếu chúng khác với các tham số được đưa ra dưới đây:

Phần: HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon Không nên có tham số nào có tên Shell, Userinit trong phần này. Nếu chúng tồn tại, hãy xóa chúng. Cũng cần nhớ những tập tin mà các tham số này trỏ tới - đây là biểu ngữ Phần: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon Trong phần này, bạn cần đảm bảo rằng giá trị của tham số Shell là explorer. exe và tham số Userinit là C :\Windows\system32\userinit.exe, (chính xác như vậy, có dấu phẩy ở cuối)

Ngoài ra, bạn nên xem các phần:

HKEY_LOCAL_MACHINE/Phần mềm/Microsoft/Windows/Phiên bản hiện tại/Chạy

và phần tương tự trong HKEY_CURRENT_USER. Phần này chỉ định các chương trình tự động khởi động khi hệ điều hành khởi động. Nếu bạn thấy một số tệp bất thường không liên quan đến các chương trình thực sự tự động khởi động và nằm ở một địa chỉ lạ, vui lòng xóa tham số.

Sau đó, thoát khỏi Trình chỉnh sửa Sổ đăng ký và khởi động lại máy tính của bạn. Nếu mọi thứ được thực hiện chính xác thì rất có thể Windows sẽ được mở khóa sau khi khởi động lại. Đừng quên xóa các tập tin độc hại và quét ổ cứng của bạn để tìm virus đề phòng.

Cách gỡ banner trên - video hướng dẫn

Tôi đã quay một video trình bày phương pháp xóa biểu ngữ được mô tả ở trên bằng chế độ an toàn và trình chỉnh sửa sổ đăng ký, có lẽ sẽ thuận tiện hơn cho ai đó khi nhận biết thông tin.

Chế độ an toàn cũng bị khóa

Trong trường hợp này, bạn sẽ phải sử dụng một số loại LiveCD. Một lựa chọn là Kaspersky Rescue hoặc DrWeb CureIt. Tuy nhiên, không phải lúc nào họ cũng giúp đỡ. Khuyến nghị của tôi là nên có một đĩa khởi động hoặc ổ đĩa flash với các bộ chương trình như vậy cho mọi trường hợp như Hiren's Boot CD, RBCD và các chương trình khác. Trong số những thứ khác, những đĩa này chứa những thứ như Trình chỉnh sửa sổ đăng ký PE - trình chỉnh sửa sổ đăng ký cho phép bạn chỉnh sửa sổ đăng ký trong khi khởi động vào Windows PE. Nếu không, mọi thứ sẽ được thực hiện theo cách tương tự như được mô tả trước đó.

Có những tiện ích khác để chỉnh sửa sổ đăng ký mà không cần khởi động hệ điều hành, chẳng hạn như Trình xem/Trình chỉnh sửa sổ đăng ký, cũng có sẵn trên CD khởi động của Hiren.

Cách xóa banner trong vùng khởi động của ổ cứng

Tùy chọn cuối cùng và khó chịu nhất là một biểu ngữ (mặc dù rất khó gọi nó như vậy nhưng nó giống một màn hình hơn), xuất hiện ngay cả trước khi Windows bắt đầu tải và ngay sau màn hình BIOS. Bạn có thể loại bỏ nó bằng cách khôi phục bản ghi khởi động đĩa cứng MBR. Điều này cũng có thể được thực hiện bằng cách sử dụng LiveCD như Hiren's Boot CD, nhưng điều này đòi hỏi một số kinh nghiệm về khôi phục phân vùng ổ cứng và hiểu biết về các thao tác liên quan. Có một cách đơn giản hơn một chút. Tất cả những gì bạn cần là một đĩa CD cài đặt hệ điều hành. Những thứ kia. nếu bạn có Windows XP thì bạn sẽ cần một đĩa cài Win XP, nếu là Windows 7 thì cần một đĩa cài Windows 7 (mặc dù đĩa cài đặt Windows 8 cũng sẽ hoạt động ở đây).

Loại bỏ banner khởi động trong Windows XP


Khởi động từ đĩa CD cài đặt Windows XP và khi bạn được nhắc khởi chạy Windows Recovery Console (không phải khôi phục F2 tự động mà là bảng điều khiển được khởi chạy bằng cách nhấn phím R), hãy khởi chạy nó, chọn một bản sao Windows và nhập hai lệnh: sửa chữafixmbr(đầu tiên là cái đầu tiên, sau đó là cái thứ hai), xác nhận việc thực hiện chúng (nhập ký hiệu Latin y và nhấn Enter). Sau đó, khởi động lại máy tính của bạn (không còn từ CD nữa).

Khôi phục bản ghi khởi động trong Windows 7


Nó được thực hiện theo cách gần như giống nhau: đưa đĩa khởi động Windows 7 vào, khởi động từ nó. Trước tiên, bạn sẽ được yêu cầu chọn ngôn ngữ và trên màn hình tiếp theo ở phía dưới bên trái sẽ có tùy chọn “Khôi phục hệ thống” mà bạn nên chọn. Sau đó, bạn sẽ được yêu cầu chọn một trong một số tùy chọn khôi phục. Khởi chạy dấu nhắc lệnh. Và chạy hai lệnh sau theo thứ tự: bootrec.exe /FixMbrbootrec.exe /FixBoot. Sau khi khởi động lại máy tính (từ ổ cứng), biểu ngữ sẽ biến mất. Nếu biểu ngữ tiếp tục xuất hiện, hãy chạy lại dòng lệnh từ đĩa Windows 7 và nhập lệnh bcdboot.exe c:\windows, trong đó c:\windows là đường dẫn đến thư mục mà bạn đã cài đặt Windows. Điều này sẽ khôi phục hệ điều hành để khởi động chính xác.

Các cách khác để xóa biểu ngữ

Cá nhân tôi thích xóa biểu ngữ theo cách thủ công hơn: theo ý kiến ​​​​của tôi, nó nhanh hơn và tôi biết chính xác điều gì sẽ hiệu quả. Tuy nhiên, từ hầu hết các nhà sản xuất phần mềm chống vi-rút, bạn có thể tải xuống hình ảnh CD từ trang web của họ, sau khi khởi động từ đó người dùng cũng có thể xóa biểu ngữ khỏi máy tính. Theo kinh nghiệm của tôi, những đĩa này không phải lúc nào cũng hoạt động, tuy nhiên, nếu bạn quá lười tìm hiểu các trình soạn thảo sổ đăng ký và những thứ tương tự khác, thì một đĩa khôi phục như vậy có thể rất hữu ích.

Ngoài ra, trên các trang web chống vi-rút cũng có các biểu mẫu để bạn có thể nhập số điện thoại mà bạn được yêu cầu gửi tiền và nếu có mã chặn số này trong cơ sở dữ liệu, chúng sẽ được thông báo miễn phí cho bạn. Hãy cẩn thận với những trang web yêu cầu bạn thanh toán cho điều tương tự: rất có thể mã bạn nhận được ở đó sẽ không hoạt động.

Chắc chắn, cứ thứ tư người dùng máy tính cá nhân đều gặp phải nhiều trò lừa đảo khác nhau trên Internet. Một kiểu lừa dối là biểu ngữ chặn hoạt động của Windows và yêu cầu bạn gửi SMS đến một số phải trả tiền hoặc yêu cầu tiền điện tử. Về cơ bản nó chỉ là một loại virus.

Để chống lại ransomware banner, bạn cần hiểu nó là gì và nó xâm nhập vào máy tính của bạn như thế nào. Thông thường một biểu ngữ trông như thế này:

Nhưng có thể có đủ loại biến thể khác, nhưng bản chất là như nhau - những kẻ lừa đảo muốn kiếm tiền từ bạn.

Các cách virus xâm nhập vào máy tính

Lựa chọn đầu tiên để “lây nhiễm” là các ứng dụng, tiện ích và trò chơi lậu. Tất nhiên, người dùng Internet đã quen với việc nhận được hầu hết những gì họ muốn trực tuyến “miễn phí”, nhưng khi tải xuống phần mềm, trò chơi lậu, nhiều trình kích hoạt khác nhau và những thứ khác từ các trang web đáng ngờ, chúng ta có nguy cơ bị nhiễm vi-rút. Trong tình huống này nó thường giúp.

Windows có thể bị chặn do tệp được tải xuống có phần mở rộng " .exe" Điều này không có nghĩa là bạn nên từ chối tải xuống các tệp có tiện ích mở rộng này. Chỉ cần nhớ rằng" .exe"chỉ có thể áp dụng cho các trò chơi và chương trình. Nếu bạn tải xuống một video, bài hát, tài liệu hoặc hình ảnh và tên của nó có “.exe” ở cuối thì khả năng biểu ngữ ransomware xuất hiện sẽ tăng mạnh lên 99,999%!

Ngoài ra còn có một thủ thuật phức tạp được cho là cần cập nhật trình phát Flash hoặc trình duyệt. Có thể xảy ra trường hợp bạn làm việc trên Internet, chuyển từ trang này sang trang khác và một ngày nào đó bạn sẽ thấy dòng chữ “Trình phát Flash của bạn đã lỗi thời, vui lòng cập nhật”. Nếu bạn nhấp vào biểu ngữ này và nó không dẫn bạn đến trang web chính thức của adobe.com thì đó 100% là vi-rút. Vì vậy, hãy kiểm tra trước khi nhấp vào nút “Cập nhật”. Lựa chọn tốt nhất là bỏ qua hoàn toàn những tin nhắn như vậy.

Cuối cùng, các bản cập nhật Windows lỗi thời sẽ làm suy yếu tính bảo mật của hệ thống của bạn. Để giữ cho máy tính của bạn được bảo vệ, hãy cố gắng cài đặt các bản cập nhật kịp thời. Tính năng này có thể được cấu hình trong "Bảng điều khiển -> Cập nhật Windows" sang chế độ tự động để không bị phân tâm.

Cách mở khóa Windows 7/8/10

Một trong những lựa chọn đơn giản để loại bỏ banner ransomware là. Nó giúp ích 100%, nhưng việc cài đặt lại Windows sẽ có ý nghĩa khi bạn không có dữ liệu quan trọng trên ổ “C” mà bạn không có thời gian để lưu. Khi bạn cài đặt lại hệ thống, tất cả các tệp sẽ bị xóa khỏi đĩa hệ thống. Do đó, nếu không muốn cài đặt lại phần mềm và trò chơi thì bạn có thể sử dụng các phương pháp khác.

Sau khi xử lý và khởi chạy thành công hệ thống không có biểu ngữ ransomware, bạn cần thực hiện các bước bổ sung, nếu không vi-rút có thể xuất hiện trở lại hoặc đơn giản là sẽ có một số vấn đề trong hoạt động của hệ thống. Tất cả điều này là ở cuối bài viết. Tất cả thông tin đã được xác nhận bởi cá nhân tôi! Vì vậy, hãy bắt đầu!

Kaspersky Rescue Disk + WindowsUnlocker sẽ giúp chúng ta!

Chúng tôi sẽ sử dụng một hệ điều hành được phát triển đặc biệt. Toàn bộ khó khăn là bạn cần tải hình ảnh xuống máy tính làm việc của mình và hoặc (cuộn qua các bài viết, nó ở đó).

Khi điều này đã sẵn sàng, bạn cần. Tại thời điểm khởi động, một thông báo nhỏ sẽ xuất hiện, chẳng hạn như “Nhấn phím bất kỳ để khởi động từ CD hoặc DVD”. Tại đây bạn cần nhấn bất kỳ nút nào trên bàn phím, nếu không Windows bị nhiễm sẽ khởi động.

Khi tải, nhấn nút bất kỳ, sau đó chọn ngôn ngữ – “Tiếng Nga”, chấp nhận thỏa thuận cấp phép bằng nút “1” và sử dụng chế độ khởi chạy – “Đồ họa”. Sau khi khởi động hệ điều hành Kaspersky, chúng tôi không chú ý đến máy quét tự động khởi chạy mà đi tới menu “Bắt đầu” và khởi chạy “Terminal”


Một cửa sổ màu đen sẽ mở ra, nơi chúng ta viết lệnh:

windowsunlocker

Một menu nhỏ sẽ mở ra:


Chọn “Mở khóa Windows” bằng nút “1”. Bản thân chương trình sẽ kiểm tra và sửa chữa mọi thứ. Bây giờ bạn có thể đóng cửa sổ và kiểm tra toàn bộ máy tính có máy quét đang chạy. Trong cửa sổ, đánh dấu vào đĩa có hệ điều hành Windows và nhấp vào “Chạy quét đối tượng”


Chúng ta đợi quá trình kiểm tra kết thúc (có thể mất nhiều thời gian) và cuối cùng khởi động lại.

Nếu bạn có máy tính xách tay không có chuột và bàn di chuột không hoạt động thì tôi khuyên bạn nên sử dụng chế độ văn bản của đĩa Kaspersky. Trong trường hợp này, sau khi khởi động hệ điều hành, trước tiên bạn phải đóng menu mở bằng nút “F10”, sau đó nhập lệnh tương tự vào dòng lệnh: windowsunlocker

Mở khóa ở chế độ an toàn, không có hình ảnh đặc biệt

Ngày nay, các loại virus như Winlocker đã trở nên thông minh hơn và chặn Windows tải ở chế độ an toàn nên rất có thể bạn sẽ không thành công, nhưng nếu không có hình ảnh thì hãy thử. Virus có nhiều loại khác nhau và các phương pháp khác nhau có thể có tác dụng với mọi người, nhưng nguyên tắc thì giống nhau.

Khởi động lại máy tính. Trong quá trình khởi động, bạn cần nhấn phím F8 cho đến khi menu Windows Advanced Startup Options xuất hiện. Chúng ta cần sử dụng mũi tên xuống để chọn từ danh sách một mục có tên "Chế độ an toàn với hỗ trợ dòng lệnh".

Đây là nơi chúng ta cần đến và chọn dòng mong muốn:

Tiếp theo, nếu mọi việc suôn sẻ, máy tính sẽ khởi động và chúng ta sẽ thấy màn hình nền. Tuyệt vời! Nhưng điều này không có nghĩa là mọi thứ hiện đang hoạt động. Nếu bạn không diệt virus mà chỉ khởi động lại ở chế độ bình thường thì banner sẽ hiện lên trở lại!

Chúng tôi được xử lý bằng Windows

Bạn cần khôi phục hệ thống khi banner chặn chưa tồn tại. Đọc bài viết cẩn thận và làm mọi thứ được viết ở đó. Có video bên dưới bài viết.

Nếu không hiệu quả, hãy nhấn nút “Win ​​​​+ R” và viết lệnh trong cửa sổ để mở trình chỉnh sửa sổ đăng ký:

regedit

Nếu thay vì màn hình nền, một dòng lệnh màu đen được khởi chạy, thì bạn chỉ cần nhập lệnh “regedit” và nhấn “Enter”. Chúng tôi phải kiểm tra một số phần của sổ đăng ký để tìm sự hiện diện của vi-rút, hay nói chính xác hơn là mã độc. Để bắt đầu thao tác này, hãy đi tới đường dẫn này:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

Bây giờ chúng tôi kiểm tra các giá trị sau theo thứ tự:

  • Shell – “explorer.exe” phải được viết ở đây, không có lựa chọn nào khác
  • Userinit - ở đây văn bản phải là “C:\Windows\system32\userinit.exe,”

Nếu HĐH được cài đặt trên một ổ đĩa khác không phải là C: thì chữ cái ở đó sẽ khác. Để thay đổi giá trị không chính xác, nhấp chuột phải vào dòng bạn muốn chỉnh sửa và chọn “chỉnh sửa”:

Sau đó chúng tôi kiểm tra:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Không nên có khóa Shell và Userinit nào ở đây; nếu có, hãy xóa chúng.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Và cũng hãy chắc chắn:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Nếu bạn không chắc chắn liệu mình có cần xóa khóa hay không, trước tiên bạn chỉ cần thêm “1” vào tham số. Đường dẫn sẽ không chính xác và chương trình sẽ không bắt đầu. Sau đó bạn có thể đưa nó trở lại như cũ.

Bây giờ bạn cần chạy tiện ích dọn dẹp hệ thống tích hợp sẵn, chúng tôi thực hiện theo cách tương tự như khi chúng tôi khởi chạy trình chỉnh sửa sổ đăng ký “regedit”, nhưng chúng tôi viết:

dọn dẹp

Chọn ổ đĩa có hệ điều hành (C: theo mặc định) và sau khi quét, chọn tất cả các hộp ngoại trừ “Cập nhật tập tin sao lưu gói”

Và nhấp vào “OK”. Với hành động này, chúng tôi có thể đã vô hiệu hóa tính năng tự động chạy của vi-rút và sau đó chúng tôi cần xóa dấu vết về sự hiện diện của nó trong hệ thống và đọc về điều này ở cuối bài viết.

Tiện ích AVZ

Ý tưởng là ở chế độ an toàn, chúng tôi sẽ khởi chạy tiện ích chống vi-rút nổi tiếng AVZ. Ngoài việc quét vi-rút, chương trình còn có rất nhiều chức năng để khắc phục sự cố hệ thống. Phương pháp này lặp lại các bước để đóng các lỗ hổng trong hệ thống sau khi virus hoạt động, bao gồm cả. Để làm quen với nó, hãy chuyển sang điểm tiếp theo.

Khắc phục sự cố sau khi loại bỏ ransomware

Chúc mừng! Nếu bạn đang đọc nội dung này thì có nghĩa là hệ thống đã khởi động mà không có biểu ngữ. Bây giờ họ cần kiểm tra toàn bộ hệ thống. Nếu bạn đã sử dụng đĩa cứu hộ của Kaspersky và kiểm tra ở đó thì bạn có thể bỏ qua điểm này.

Cũng có thể có một vấn đề nữa liên quan đến hoạt động của kẻ thủ ác - virus có thể mã hóa các tập tin của bạn. Và ngay cả sau khi xóa hoàn toàn nó, bạn sẽ không thể sử dụng các tệp của mình. Để giải mã chúng, bạn cần sử dụng các chương trình từ trang web Kaspersky: XoristDecryptor và RectorDecryptor. Ngoài ra còn có hướng dẫn sử dụng ở đó.

Nhưng đó chưa phải là tất cả, bởi... Winlocker rất có thể đã chơi một trò lừa bẩn trên hệ thống và sẽ xuất hiện nhiều trục trặc và vấn đề khác nhau. Ví dụ: Trình chỉnh sửa sổ đăng ký và Trình quản lý tác vụ sẽ không khởi động. Để xử lý hệ thống chúng ta sẽ sử dụng chương trình AVZ.

Có thể xảy ra sự cố khi tải xuống bằng Google Chrome vì... Trình duyệt này coi chương trình là độc hại và không cho phép bạn tải xuống! Câu hỏi này đã được nêu trên diễn đàn chính thức của Google và tại thời điểm viết bài này, mọi thứ đều nó đã bình thường rồi.

Để vẫn tải xuống kho lưu trữ cùng với chương trình, bạn cần truy cập “Tải xuống” và nhấp vào “Tải xuống tệp độc hại.” Vâng, tôi hiểu rằng điều này có vẻ hơi ngu ngốc, nhưng rõ ràng Chrome tin rằng chương trình có thể gây hại cho người dùng bình thường. Và điều này đúng nếu bạn chọc nó ở bất cứ đâu! Vì vậy, chúng tôi tuân thủ nghiêm ngặt các hướng dẫn!

Chúng tôi giải nén chương trình lưu trữ bằng chương trình, ghi nó vào phương tiện bên ngoài và chạy nó trên máy tính bị nhiễm. Hãy vào thực đơn "Tệp -> Khôi phục hệ thống", đánh dấu vào các ô như trong hình và thực hiện các thao tác:

Bây giờ chúng ta đi theo đường dẫn sau: "Tệp -> Trình hướng dẫn khắc phục sự cố", sau đó đi đến “Sự cố hệ thống -> Tất cả sự cố” và nhấp vào nút “Bắt đầu”. Chương trình sẽ quét hệ thống, sau đó trong cửa sổ xuất hiện, hãy chọn tất cả các hộp ngoại trừ “Tắt cập nhật hệ điều hành tự động” và những hộp bắt đầu bằng cụm từ “Cho phép tự động chạy từ…”.

Nhấp vào nút “Khắc phục sự cố đã lưu ý”. Sau khi hoàn thành thành công, hãy truy cập: “Cài đặt và chỉnh sửa trình duyệt -> Tất cả sự cố”, ở đây chúng tôi chọn tất cả các hộp và nhấp vào nút “Khắc phục sự cố được đánh dấu” theo cách tương tự.

Chúng tôi cũng làm như vậy với “Quyền riêng tư”, nhưng ở đây không chọn các hộp chịu trách nhiệm xóa dấu trang trong trình duyệt và bất cứ điều gì khác mà bạn cho là cần thiết. Chúng tôi hoàn tất quá trình kiểm tra trong phần “Dọn dẹp hệ thống” và “Loại bỏ phần mềm quảng cáo/Thanh công cụ/Trình duyệt”.

Cuối cùng, đóng cửa sổ mà không rời khỏi AVZ. Trong chương trình chúng tôi tìm thấy “Công cụ -> Trình chỉnh sửa tiện ích mở rộng Explorer” và bỏ chọn những mục được đánh dấu màu đen. Bây giờ chúng ta hãy chuyển sang: “Công cụ -> Trình quản lý tiện ích mở rộng Internet Explorer” và xóa hoàn toàn tất cả các dòng trong cửa sổ xuất hiện.

Tôi đã nói ở trên rằng phần này của bài viết cũng là một trong những cách để chữa Windows khỏi ransomware banner. Vì vậy, trong trường hợp này, bạn cần tải chương trình xuống máy tính làm việc của mình rồi ghi nó vào ổ đĩa flash hoặc đĩa. Chúng tôi thực hiện mọi hành động ở chế độ an toàn. Nhưng có một tùy chọn khác để khởi chạy AVZ, ngay cả khi chế độ an toàn không hoạt động. Bạn cần bắt đầu từ cùng một menu khi hệ thống khởi động, ở chế độ “Khắc phục sự cố máy tính của bạn”

Nếu bạn đã cài đặt nó, nó sẽ được hiển thị ở đầu menu. Nếu không có, hãy thử khởi động Windows cho đến khi biểu ngữ xuất hiện và rút phích cắm máy tính. Sau đó bật nó lên - chế độ khởi chạy mới có thể được cung cấp.

Chạy từ đĩa cài đặt Windows

Một cách chắc chắn khác là khởi động từ bất kỳ đĩa cài đặt Windows 7-10 nào và chọn không “Cài đặt” ở đó mà chọn "Khôi phục hệ thống". Khi trình khắc phục sự cố đang chạy:

  • Bạn cần chọn “Dòng lệnh” ở đó
  • Trong cửa sổ màu đen xuất hiện, hãy viết: “notepad”, tức là. khởi chạy một notepad thông thường. Chúng ta sẽ sử dụng nó như một dây dẫn mini
  • Vào menu “File -> Open”, chọn loại file “All files”
  • Tiếp theo, tìm thư mục chứa chương trình AVZ, nhấp chuột phải vào tệp cần khởi chạy “avz.exe” và khởi chạy tiện ích bằng mục menu “Mở” (không phải mục “Chọn”!).

Nếu vẫn thất bại

Đề cập đến các trường hợp vì lý do nào đó, bạn không thể khởi động từ ổ đĩa flash có hình ảnh Kaspersky đã ghi hoặc chương trình AVZ. Tất cả những gì bạn phải làm là tháo ổ cứng ra khỏi máy tính và kết nối nó như một ổ đĩa thứ hai với máy tính ở cơ quan. Sau đó khởi động từ ổ cứng KHÔNG BỊ NHIỄM và quét ổ đĩa CỦA BẠN bằng máy quét Kaspersky.

Đừng bao giờ gửi tin nhắn SMS mà những kẻ lừa đảo yêu cầu. Dù là văn bản gì, đừng gửi tin nhắn! Cố gắng tránh các trang web và tệp đáng ngờ và thường đọc. Hãy làm theo hướng dẫn và sau đó máy tính của bạn sẽ được an toàn. Và đừng quên phần mềm chống virus và cập nhật hệ điều hành thường xuyên!

Đây là một video nơi bạn có thể xem mọi thứ bằng một ví dụ. Danh sách bài hát bao gồm ba bài học:

PS: phương pháp nào đã giúp bạn? Viết về nó trong các ý kiến ​​​​dưới đây.

Trong bài viết này tôi sẽ nói về cách gỡ banner khiêu dâm. Hầu hết các biểu ngữ SMS và biểu ngữ khiêu dâm đều yêu cầu bạn gửi tin nhắn SMS đến một số ngắn rồi nhập mã nhận được trong tin nhắn phản hồi vào cửa sổ. Nếu bạn đang đọc văn bản này, thì bạn đã rõ rằng bạn không nên làm điều này trong tương lai và câu hỏi được đặt ra: "Làm cách nào để xóa biểu ngữ khỏi máy tính của bạn?"

Vấn đề với các biểu ngữ khiêu dâmđược tìm thấy phần lớn trên Windows XP (nhưng cũng áp dụng cho Windows Vista/7).

Các chương trình xử lý và loại bỏ các biểu ngữ khiêu dâm:

AVZ– tiện ích được thiết kế để phát hiện và loại bỏ phần mềm có hại:

  • Các mô-đun SpyWare và AdWare là mục đích chính của tiện ích
  • Trình quay số (Trojan.Dialer)
  • chương trình Trojan
  • Mô-đun cửa hậu
  • Sâu mạng và thư
  • TrojanSpy, TrojanDownloader, TrojanDropper

Bạn có thể tải xuống chương trình AVZ từ .

Malwarebytes- một chương trình quét nhanh hệ thống để phát hiện và loại bỏ nhiều loại phần mềm độc hại khác nhau, bao gồm cả các biểu ngữ khiêu dâm yêu thích của chúng tôi. Malwarebytes Anti-Malware chủ yếu tập trung vào việc chống lại các mô-đun phần mềm gián điệp và cho phép bạn khôi phục hoàn toàn hoạt động bình thường của máy tính sau khi gỡ bỏ chúng.

Chặn mọi thứ. Mã mở khóa có thể được tìm thấy trong công cụ tìm kiếm. Chúng tôi đã tìm thấy mã hủy kích hoạt, nhập mã đó và thở phào nhẹ nhõm - biểu ngữ SMS đã biến mất! Bây giờ chúng ta cần làm sạch hệ thống. Có rất nhiều phương tiện và cách thức để làm điều này, bạn có thể chọn theo sở thích của mình. Cài đặt và quét hệ thống bằng Malwarebytes’ Anti-Malware, AVZ, sau đó thực hiện khôi phục hệ thống về điểm trước khi bắt gặp banner. Một số không khuyến khích sử dụng nó, nhưng chúng tôi dám đề xuất chương trình ComboFix (trước khi sử dụng, chúng tôi khuyên bạn nên đọc mô tả của nó). Sau đó xem qua chương trình HijackThis, FAV. Và cuối cùng, bất kỳ phần mềm chống vi-rút nào có cơ sở dữ liệu được cập nhật.

Nếu chưa tìm được mã mở khóa và banner SMS không thể xóa được:

Đĩa CD cứu hộ Kaspersky. Tải xuống hình ảnh iso, ghi nó vào đĩa và khởi động từ nó. Bạn khởi động nó. Sau khi quá trình kiểm tra và xử lý hoàn tất, mọi thứ sẽ hoạt động hoàn hảo. Khởi động lại và tận hưởng một hệ thống sạch sẽ.

Biểu ngữ chưa được phân loại

Còn có một banner khác rất khó phân loại là loại nào. Biểu ngữ SMS chặn hầu hết các bước đơn giản để loại bỏ nó. Ctrl+Alt+Del không giúp được gì. Ctrl+Esc tiếp theo - Menu Bắt đầu xuất hiện.

Tải tiện ích điều trị Trình quản lý tác vụ AnVir.Nó không chỉ là một giải pháp thay thế hiện đại hóa cho trình quản lý tác vụ mà còn là một phần mềm chống vi-rút.

Các tính năng của Trình quản lý tác vụ AnVir

  • Quản lý quá trình khởi động, chạy, dịch vụ và trình điều khiển
  • Thay thế Trình quản lý tác vụ
  • Phát hiện và loại bỏ virus và phần mềm gián điệp, ngăn chặn các nỗ lực lây nhiễm vào hệ thống
  • Tăng tốc đáng kể quá trình tải Windows và hoạt động của máy tính
  • Chương trình hoàn toàn miễn phí

Chúng tôi khởi chạy AnVir, chuyển đến tab Quy trình và tính toán quy trình của chúng tôi. Trong trường hợp của chúng tôi đó là - dịch vụ.exe, quá trình này tự ngụy trang thành một dịch vụ hệ thống dịch vụ.exe.

Chúng tôi hoàn tất quá trình và biểu ngữ đã biến mất. Tuy nhiên, mặc dù chúng ta có một màn hình sạch sẽ trước mặt (nghĩa là không có biểu ngữ), vẫn không có nút Bắt đầu trên đó và Trình quản lý tác vụ không khởi động. Chúng tôi sử dụng một phương pháp đã được chứng minh - Ctrl + Esc - Menu chính - Chương trình - Phụ kiện - Explorer.

Có một biểu ngữ khác cũng không nằm trong phân loại của chúng tôi. Anh ấy đang được điều trị bằng FAV (FixAfterVirus).

Đôi khi, để xem video, trình phát yêu cầu bạn cập nhật Flash Player. Ở đây bạn cần phải đặc biệt cẩn thận. Ngay sau thông báo như vậy và cài đặt trình phát tiếp theo, bạn sẽ cài đặt biểu ngữ khiêu dâm trên máy tính của mình. Nếu để ý, bạn sẽ nhận thấy sự khác biệt trong kiểu biểu ngữ so với cửa sổ Adobe Flash Player ban đầu.

Trình bảo vệ màn hình xuất hiện sau đó sẽ chặn cả regedit và "khôi phục hệ thống" và nó hiện ở CHẾ ĐỘ AN TOÀN. Nó không xuất hiện ngay lập tức mà xuất hiện sau 1 giờ sau khi “cập nhật” Flash Player. Nó nằm ở đây: C:\Documents and Setting\User\LocalSettings\Temp và được “đăng ký” trong phần đăng ký HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon. Chúng tôi khởi động lại sau khi đưa Live CD từ Dr.Web hoặc ERD Commander 5 vào ổ đĩa (hình ảnh Live CD hoặc ERD Commander 5 được ghi vào đĩa ở tốc độ tối thiểu, vì đĩa có thể không khởi động được).

Chúng tôi khởi chạy Regedit, nhập userinit vào tìm kiếm và đưa nó về trạng thái ban đầu. Nếu LiveCD không có khả năng chỉnh sửa sổ đăng ký, thì bạn chỉ cần truy cập C:\Document and Setting\User\LocalSettings\Temp và xóa tệp biểu ngữ từ đó. Trong trường hợp của chúng tôi, đó là der1.tmp. Chúng tôi khởi động lại máy tính - biểu ngữ đã biến mất, chạy Regedit, nhập userinit vào tìm kiếm và đưa nó về trạng thái ban đầu. Bây giờ chúng ta cần khôi phục lại hệ thống.

Biểu ngữ SMS có bộ đếm lượt xem quảng cáo:

Khi bạn nhấp vào “tải sách” hoặc “tải bài hát”, một cửa sổ sẽ xuất hiện. Bạn cho phép cài đặt banner của riêng bạn. Đọc “thỏa thuận”!

Khi bạn nhấn nút Đóng(hoặc bằng cách nhấp vào liên kết Loại bỏ các quảng cáo) xuất hiện cửa sổ với thông báo bạn “bắt buộc phải xem thêm… số lần hiển thị của thư quảng cáo hoặc từ chối xem quảng cáo bằng cách gửi tin nhắn SMS có nội dung 7728 đến số 4125”:

Khi cài vào thì virus tạo ở C: virus tạo thư mục CMediaQuảng cáo bốc lửa, và cả tập tin fireads.dat

Nếu bạn cố gắng gỡ cài đặt một chương trình bằng một tập tin Gỡ cài đặt.exe, (có một tệp như vậy trong các thư mục này, sau đó một cửa sổ sẽ mở ra với thông báo rằng bạn bắt buộc xem thêm 1000 lần hiển thị của quảng cáo này:

Cách loại bỏ biểu ngữ SMS này:

1. Ngắt kết nối Internet và mạng cục bộ, đóng tất cả các trang web đang mở, xóa bộ nhớ đệm của các tệp Internet tạm thời được trình duyệt web lưu và xóa cookie (bạn có thể thực hiện việc này nhanh chóng với CCleaner).

2. Vì thư mục \Tài liệu và Cài đặt\Tên người dùng\Dữ liệu ứng dụng\ tập thuộc tính Ẩn giấu, Hệ thống, Chỉ để đọcđể tìm và tiêu diệt virus, sau đó mở Máy tính của tôi, chọn thực đơn Công cụ -> Tùy chọn thư mục…(hoặc bấm vào Bắt đầu -> Cài đặt -> Bảng điều khiển -> Tùy chọn thư mục);

– trong hộp thoại mở ra Thuộc tính thư mục mở thẻ Xem;

- Trong chuong Tùy chọn bổ sung kiểm tra hộp Hiển thị nội dung của các thư mục hệ thống, bỏ chọn Ẩn các tập tin hệ thống được bảo vệ, đặt công tắc Hiển thị các tập tin và thư mục ẩn -> OK.

3. Gỡ bỏ banner khiêu dâm khỏi bộ nhớ bằng tiện ích Trình khám phá quy trình hoặc đợi cho đến khi cửa sổ của anh ta tự đóng lại;

– tìm thư mục \Tài liệu và Cài đặt\Tên_ người dùng\Dữ liệu ứng dụng\CMedia;

– xóa nó cùng với tất cả nội dung của nó (có thể các tập tin CMedia.dllg.fla bạn sẽ không thể xóa nó như vậy – mà không cần khởi động lại; Để loại bỏ chúng mà không cần khởi động lại, bạn sẽ cần trợ giúp Trình khám phá quy trình);

– tìm thư mục \Tài liệu và Cài đặt\Tên_ người dùng\Dữ liệu ứng dụng\FieryAds;

– xóa nó cùng với nội dung của nó (các tập tin FieryAds.dllFieryAdsUninstall.exe);

- trong thư mục \Tài liệu và Cài đặt\Tên_ người dùng\Dữ liệu ứng dụng xóa tập tin fireads.dat.

Quét hệ thống với Dr. Web CureIt.

Thanh tác vụ sẽ bị thiếu, cả Trình quản lý tác vụ và bất kỳ thứ gì khác đều không thể khởi chạy được. Quá trình explorer.exe bị vô hiệu hóa. Khởi động vào Chế độ an toàn (F8 trước khi Windows khởi động).

Để khôi phục Trình quản lý tác vụ hoạt động, hãy lưu dòng này:
ĐĂNG KÝthêm vàoHKCU\ Phần mềm\ Microsoft\ các cửa sổ\ Phiên bản hiện tại\ Chính sách\ Hệ thống

/ vTắtTaskMgr / tĐĂNG KÝ_ DWORD / d 0 / f

Khởi động vào chế độ an toàn có hỗ trợ dòng lệnh (có tùy chọn khởi động như vậy trong menu), Nhập dòng này và nhấn Enter.
Một thông báo sẽ xuất hiện cho biết lệnh đã hoàn tất thành công.
Khởi động lại bình thường. Trình quản lý tác vụ sẽ bắt đầu.

Sử dụng một phương pháp tương tự, bạn có thể "làm sống lại" trình soạn thảo sổ đăng ký. Regedit. Để làm điều này, bạn cần nhập dòng này:

REG thêm HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v Vô hiệu hóaRegistryTools /t REG_DWORD /d 0 /f

Bằng cách này bạn có thể vô hiệu hóa tất cả tự động tải:

REG XÓA HKLM\Software\Microsoft\Windows\CurrentVersion\Run /va /f

Quét hệ thống bằng Dr.Web CureIt.

tái bút Nếu bạn vẫn chưa xử lý được vi-rút, hãy mô tả vấn đề trong phần bình luận, tôi chắc chắn sẽ cố gắng giúp đỡ và bạn cũng có thể thêm vấn đề của mình vào bài viết.