Hur man tar bort reklambanner från skrivbordet. Värd och kristallklart

Alla tips

Hej kompisar! I den här artikeln kommer vi att titta på sätt att ta bort banner från skrivbordet. Detta kan hända inte bara på grund av att du besöker webbplatser med erotiskt innehåll, utan också när du använder sprickor eller nyckelgener som laddats ner från okända källor. Försök därför att ladda ner programvara endast från tillverkarnas webbplatser. Om du får en misstänkt fil, var inte lat och kolla efter virus online. Vanligtvis kallas sådana banderoller för utpressare, eftersom de kräver pengar från användaren. Det kan vara som att skicka ett SMS till ett kortnummer eller fylla på ditt konto i systemet elektroniska betalningar. Bedragare brukar skriva på sådana banderoller att användaren har brutit mot lagen, vilket de är skyldiga att betala böter för. I den här artikeln kommer vi att berätta hur du avblockerar din dator från sådana banners.

Dessa tjänster är lätta att använda, men det finns inga garantier. Du kan spendera mycket tid men ändå inte låsa upp systemet. Men du måste definitivt prova det.

För att använda behöver du en enhet (en annan dator, surfplatta eller telefon) med tillgång till internet. Gå till någon av de angivna adresserna. Låt oss ta Kaspersky till exempel.

I ett speciellt fält måste du ange telefonnumret eller kontot som du vill överföra pengar till. Om du blir ombedd att skicka ett SMS till kort nummer, skriv sedan ner detta nummer och, åtskilda av ett kolon, texten som måste skickas. Efteråt, tryck för att få koden

Sökresultaten kommer att visas nedan. Välj din banner och prova koderna mot den.

Om du inte har hittat din banner, försök på Dr.Web- eller Eset-webbplatsen. Om den här metoden inte hjälpte ta bort bannern från ditt skrivbord, läs vidare.

Använder systemåterställning

Det här alternativet är bra om du har den här funktionen aktiverad. Om Systemåterställning har inaktiverats, fortsätt till nästa steg.

För att ta bort bannern från skrivbordet med systemåterställning- Starta om datorn och klicka på boot F8 upprepat. Om en lista över enheter från vilka uppstart är möjlig visas, välj din enhet (hårddisk eller SSD) och fortsätt att trycka på F8 igen. Du bör se en liknande bild nedan. Du måste välja objektet Systemfelsökning markerad som standard

Ett fönster kommer att laddas där du måste välja ett språk och sedan en användare. Därefter kommer det att finnas ett fönster med ett urval av flera återställningsalternativ. Välj Systemåterställning. Välj sedan en återställningspunkt och återställ datorn till den tidpunkten. Ta först närmaste återställningspunkt om det inte hjälper, återställ till en tidigare.

Du kan läsa mer om hur du använder Systemåterställning.

Ta bort bannern från säkert läge

Genom att kontrollera Dr.Web Cureit eller analoger

Det finns banners som inte är aktiva i felsäkert läge. Du måste dra nytta av detta. För att förbereda dig för behandling måste du ladda ner Dr.Web Cureit-verktyget på en frisk dator genom att öppna följande länk i din webbläsare.

För att ta bort en banner från ditt skrivbord genom att rensa registret måste du kontrollera flera punkter i registret.

På vänster sida av fönstret gå till adressen

HKEY_CURRENT_USER -> Programvara -> Microsoft -> Windows -> CurrentVersion -> Kör

Gå till höger sida och ta bort alla objekt utom ett (standard) som värdet inte är tilldelat. Klick Högerklicka vid punkten och välj Radera. Med den här åtgärden tar vi bort bannern från start av Windows. (Hur man hanterar Windows start 7 och Windows 8 när datorn fungerar kan du läsa.)

Alla ovanstående steg måste också utföras i avsnittet

HKEY_LOCAL_MACHINE -> Programvara -> Microsoft -> Windows -> CurrentVersion -> Kör

Det finns ytterligare två platser kvar att kontrollera

HKEY_CURRENT_USER -> Programvara -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon

I detta kontrollerar vi frånvaron av poäng Skal Och Användarinit. Om de finns där, ta bort dem.

HKEY_LOCAL_MACHINE -> Programvara -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon

kontrollera värdena för ovanstående punkter

Shell = explorer.exe

Userinir = C:\Windows\system32\userinit.exe, (komma krävs)

Om värdena är olika korrigerar vi dem till de rätta.

Stäng registerredigeraren och för att vara på den säkra sidan kontrollera datorn med Dr.Web Cureit-verktyget eller en analog om du inte kontrollerade det innan du redigerade registret.

Efter att ha kontrollerat, starta om till normalt läge och kontrollera om bannern är borttagen.

Använda Kaspersky WindowsUnlocker för att ta bort en banner från skrivbordet

Med det här verktyget kan du desinficera alla operativsystem som är installerade på din dator. Det gör automatiskt det vi gjorde manuellt i föregående stycke. Detta verktyg ingår i Kaspersky Rescue Disk.

Ladda ner bilden av Kaspersky Räddningsskiva kan hittas på den officiella hemsidan via länken

Att anmäla sig till USB-enhet Det är bättre att använda verktyget från tillverkaren

I programfönstret med knappen Recension ange sökvägen till Kaspersky Rescue Disk-avbildning. Klistra USB-minne in i datorn och det visas omedelbart i lämpligt avsnitt. Om detta inte händer, välj det manuellt.

Uppmärksamhet! Spara all viktig data från din USB-enhet.

Efter alla inställningar, tryck på knappen START

Bilden kommer att skrivas till USB-enheten. Om processen slutförs framgångsrikt kommer du att se följande fönster. Klick OK och stäng rescue2usb-programmet

Nu måste du starta från den förberedda USB-minne på en infekterad dator. För att göra detta, sätt i USB-minnet i datorn och starta om. När du startar datorn trycker du på F8 flera gånger för att ta fram listan över enheter som den kan starta från. Välj den anslutna USB-enheten. (Det kan finnas två inskriptioner i den här listan som föreslår att du startar från USB. Försök med den ena först och sedan den andra). Om du inte kan starta från en flash-enhet, måste du ställa in boot från en USB-enhet i BIOS. Du kan läsa hur du gör detta.

Efter alla inställningar kommer den att starta från USB-enheten och du kommer att se följande fönster. Vilken tangent som helst måste tryckas in inom 10 sekunder

Välj önskat språk med hjälp av pilarna på tangentbordet

Du måste acceptera licensen genom att trycka på knapp 1 på tangentbordet

Välj ett läge Kaspersky nedladdningar Räddningsskiva. Om du inte har en mus, välj text. I alla andra fall, välj grafikläge

I terminalen skriver vi windows unlocker och tryck Stiga på

Om du har valt textläge trycker du på F10 stäng menyn som visas och skriv windows unlocker i raden nedan filhanterare. Klick Stiga på

För det för att ta bort bannern från skrivbordet Tryck 1

Efter alla manipulationer måste du trycka 0 - Utgång.

När du har låst upp operativsystemet måste du uppdatera Kaspersky Rescue Disk-databaser och köra full check dator. För att göra detta, öppna huvudmenyn och välj Kaspersky Rescue Disk. Gå till uppdateringsfliken och klicka Utför uppdatering. I det här fallet måste Internet vara anslutet till datorn

Gå till fliken Kontrollera föremål och markera alla objekt i fält 2 med kryssrutor Utför objektkontroll

Vänta tills skanningen är klar och ta bort eller bota de hittade. skadliga filer. Efteråt, starta om i normalt läge och kontrollera om bannern är borttagen från skrivbordet.

Fixar startposten

Om viruset laddas omedelbart när du slår på datorn innan operativsystemets logotyp visas, har denna infektion ändrat startregistret för din enhet.

Du måste logga in på konsolen Windows återställning och försök att återställa startposten.

För att öppna återställningskonsolen måste du trycka på knappen vid uppstart F8 som när du väljer säkert läge. När ett fönster visas med ett urval av nedladdningsalternativ. Objektet som valts som standard visas högst upp - Systemfelsökning. Välj det här objektet genom att klicka Stiga på

Ett fönster för att välja en användare och ange ett lösenord visas då. Välj en användare och ange ett lösenord om du har ett och klicka Ytterligare

Ett fönster kommer då att visas med alternativ för systemåterställning. Där kan du välja att återställa datorn från en bild (vilket görs genom att säkerhetskopiera data i Windows) eller utföra en systemåterställning (om den är aktiverad. Se punkt 3 i denna artikel) och mycket mer. Du väljer det sista objektet Kommandorad.

Du skriver i den BOOTREC.EXE /FixBoot

Starta sedan om och kontrollera om bannern har tagits bort från skrivbordet.

Kontrollerar enheten på en frisk dator

Om du har möjlighet att kontrollera din enhet på en annan dator, gör det.

Stäng av datorn. Koppla bort hårddisken. Med den avstängd ansluter du den till en annan dator. Starta upp. Uppdatering antivirusdatabaser och kontrollera den anslutna disken för virus. Jag gillar det här alternativet mest eftersom det är möjligt. Om det inte finns där, använd alternativen som beskrivs ovan.

Installerar om Windows

Detta sista utvägen. Om inget av ovanstående hjälper måste du installera om operativsystemet. om du har viktig information på skrivbordet eller i mappen Mina dokument, starta från valfri startdiskett (till exempel från Kaspersky Rescue Disk) och kopiera informationen från enhet C till valfri annan.

Windows XP med en USB-systemåterställningsenhet kan vara till stor hjälp i kritiska situationer. Jag rekommenderar starkt att du slår på den och allokerar flera gigabyte för den i inställningarna. Om återhämtningen misslyckas, fortsätt sedan till behandlingen i säkert läge. Såvida inte viruset blockerar allt där med sin banderoll förstås.
Om det inte fungerar med felsäkert läge, då Kaspersky Windows Unlocker som en del av Kaspersky Rescue Disk perfekt lösning. Om möjligt kan och bör du kontrollera din körning på din släktings, väns eller grannes friska maskin. Oroa dig inte, viruset hoppar inte till en annan dator. Om viruset är registrerat i boot ingång, försök sedan genom återställningskonsolen. Om allt annat misslyckas (vilket är osannolikt), är det bättre att installera om operativsystemet.

Video om hur man låser upp en dator från en banner

Winlocker-trojaner är en typ av skadlig programvara som, genom att blockera åtkomsten till skrivbordet, pressar pengar från användaren - om han antagligen överför det nödvändiga beloppet till angriparens konto, kommer han att få en upplåsningskod.

Om du, när du väl har slagit på din dator, ser istället för skrivbordet:

Eller något annat i samma anda - med hotfulla inskriptioner, och ibland med obscena bilder, skynda dig inte att anklaga dina nära och kära för alla synder.

De, och kanske du själv, har blivit offer för ransomwaren trojan.winlock.

Hur kommer ransomware-blockerare in på din dator?

Oftast kommer blockerare in på din dator på följande sätt:

genom hackade program, samt verktyg för att hacka betald programvara (sprickor, keygens, etc.);
laddas ner via länkar från meddelanden på sociala nätverk, skickade förmodligen av bekanta, men i själva verket av angripare från hackade sidor;
laddas ner från nätfiskewebbresurser som imiterar välkända webbplatser, men som faktiskt är skapade speciellt för att sprida virus;
komma med e-post i form av bilagor som åtföljer brev med spännande innehåll: ”du blev stämd...”, ”du blev fotograferad på brottsplatsen”, ”du vann en miljon” och liknande.

Uppmärksamhet! Pornografiska banners laddas inte alltid ner från porrsajter. De kan göra det från de vanligaste.

En annan typ av ransomware sprids på samma sätt - webbläsarblockerare. Till exempel, så här:

De kräver pengar för tillgång till att surfa på webben via en webbläsare.

Hur tar man bort bannern "Windows blockerad" och liknande?

När ditt skrivbord är blockerat och en virusbanner förhindrar att några program körs på din dator, kan du göra följande:

gå till säkert läge med stödet kommandorad, starta registerredigeraren och ta bort bannerns autorun-nycklar.
starta från en Live CD ("live" disk), till exempel ERD commander, och ta bort bannern från datorn både genom registret (autorun-nycklar) och genom Explorer (filer).
skanna systemet från en startdiskett med ett antivirusprogram, till exempel Dr.Web LiveDisk eller Kaspersky Rescue Disk 10.

Metod 1. Ta bort Winlocker från säkert läge med konsolstöd.

Så, hur tar man bort en banner från din dator via kommandoraden?

På maskiner med Windows XP och 7, innan systemet startar, måste du snabbt trycka på F8-tangenten och välja det markerade objektet från menyn (i Windows 8\8.1 finns det ingen denna meny, så du måste starta från installationen disk och starta kommandoraden därifrån).

Istället för ett skrivbord öppnas en konsol framför dig. För att starta registerredigeraren, skriv in kommandot i den regedit och tryck på Enter.

Öppna sedan registerredigeraren, hitta virusposter i den och fixa det.

Oftast registreras ransomware-banners i följande avsnitt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- här ändrar de värdena för parametrarna Shell, Userinit och Uihost (den sista parametern är endast tillgänglig i Windows XP). Du måste fixa dem till normalt:

Shell = Explorer.exe
Userinit = C:\WINDOWS\system32\userinit.exe, (C: är bokstaven systempartition. Om Windows är på enhet D kommer sökvägen till Userinit att börja med D:)
Uihost = LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- se parametern AppInit_DLLs. Normalt kan det vara frånvarande eller ha ett tomt värde.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Kör- här skapar ransomware ny parameter med värdet som sökvägen till blockeringsfilen. Parameternamnet kan vara en sträng med bokstäver, till exempel dkfjghk. Det måste tas bort helt.

Detsamma gäller för följande avsnitt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Kör
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

För att korrigera registernycklar, högerklicka på parametern, välj "Ändra", ange ett nytt värde och klicka på OK.

Efter detta, starta om datorn i normalt läge och gör en antivirusskanning Det kommer att ta bort alla ransomware-filer från din hårddisk.

Metod 2. Ta bort Winlocker med ERD Commander.

ERD commander innehåller en stor uppsättning verktyg för att återställa Windows, inklusive de som skadats av att blockera trojaner.

Med den inbyggda registerredigeraren ERDregedit kan du utföra samma operationer som vi beskrev ovan.

ERD commander kommer att vara oumbärlig om Windows är låst i alla lägen. Kopior av den distribueras olagligt, men de är lätta att hitta på Internet.

ERD commander kit för alla Windows-versioner kallad startskivor MSDaRT (Microsoft Diagnostic & Recovery Toolset), går de till ISO-format, vilket är bekvämt för att bränna till DVD eller överföra till en flashenhet.

Att ta bort banners från din dator med både Dr.Web och Kaspersky-diskar är lika effektivt.

Hur skyddar du din dator från blockerare?

Installera pålitligt antivirus och hålla den ständigt aktiv.
Kontrollera alla filer som laddats ner från Internet för säkerhet innan du startar.
Klicka inte på okända länkar.
Öppna inte e-postbilagor, särskilt de som kom in i brev med spännande text. Även från dina vänner.
Håll koll på vilka webbplatser dina barn besöker. Använd föräldrakontroll.
Om möjligt, använd inte piratkopierad programvara - många betalda program kan ersättas med säkra gratis.

baner från ditt skrivbord personlig dator, ladda ner LiveCD-programmet från en annan dator ( http://www.freedrweb.com/livecd), skriv den till disken och sätt in den i den infekterade datorn. Starta om din dator så startar den automatisk åtgärd program. Denna programvara kommer att skanna systemet och bota det.

Om LiveCD-programmet inte hjälpte dig kan du använda följande metod. Gå till antivirustillverkarnas webbplatser, till exempel Kasperskys webbplats ( http://support.kaspersky.ru/viruses/deblocker), Doctor Web ( http://www.drweb.com/unlocker/index) eller nod32 ( http://www.esetnod32.ru/.support/winlock/) ange numret som du vill skicka SMS till, eller meddelandekoden. Du kommer att få ett antal koder som du kan ta bort baner.

Kan tas bort baner från skrivbordet med Systemåterställning. Gå till "Task Manager" genom att trycka på Ctrl+Alt+Delete. Ring sedan kommandoraden. Stiga på nästa kommando: %systemrot%system32
estore
strui.exe och tryck på Enter.

När du har tagit bort viruset, uppdatera ditt antivirusprogram och skanna din dator fullständigt.

Trots stor mängd existerande antivirusprogram, virus på Internet fortsätter att existera och utvecklas. För ungefär sex år sedan började ransomware-virus aktivt spridas, varav ett var en porrbanner.

Instruktioner

Denna banner visas vanligtvis i webbläsaren eller på skrivbordet, som finns ovanpå andra fönster. Det kan inte bara orsaka moralisk nöd, utan blockerar också vissa funktioner i operativsystemet. Om bannern endast visas i webbläsaren, rensa bara inställningarna för din webbläsare.

För Internet Explorer Du bör noggrant kontrollera de aktiva tilläggen, undersektionen finns i menyn "Verktyg". Det är inte lätt att identifiera ett skadligt program med ögat, så du kan använda urvalsmetoden - inaktivera tillägg ett i taget och kontrollera resultatet genom att starta om webbläsaren.

I Opera skriver en skadlig banner sig själv till mappen för användarens java scripts, vars inställningar måste ändras. För att göra detta måste du anropa menyn "Verktyg", undermenyn "Inställningar". Välj fliken "Avancerat", avsnittet "Innehåll". Klicka på knappen "Java Script Settings" och rensa "Användare" i fönstret som visas Java-filer Script". Du måste också följa sökvägen som anges i det här fältet och ta bort alla filer med filtillägget .js eller hela mappen uscriprs - om det finns en.

Var femte ägare av en persondator attackerades av bedragare under world wide web. En populär typ av bedrägeri är Winlocker-trojaner - dessa är banners som blockerar arbetet Windows-processer och kräver att du skickar SMS till betalt nummer. För att bli av med sådan ransomware måste du ta reda på vilka hot den utgör och hur den kommer in i systemet. I särskilt svåra fall måste du ta kontakt servicecenter.

Hur kommer virusbanners in på en dator?

Först på listan över smittkällor är piratkopierade program för arbete och fritid. Vi får inte glömma att internetanvändare har blivit vana vid att skaffa programvara online gratis. Men laddar programvara från sajter som orsakar misstankar innebär en hög risk för bannerinfektion.

Windows låser sig ofta när en nedladdad fil öppnas med filtillägget ".exe". Naturligtvis är detta inte ett axiom, det är ingen mening att vägra ladda ner programvara med en sådan förlängning. Kom bara ihåg en enkel regel - ".exe" är ett installationstillägg för spel eller program. Och dess närvaro i namnet på video-, ljud-, bild- eller dokumentfiler maximerar sannolikheten för att en dator infekteras av en Winlocker-trojan.

Den näst vanligaste metoden är baserad på ett samtal för att uppdatera din flashspelare eller webbläsare. Det ser ut så här: när du går från sida till sida medan du surfar på Internet, dyker följande meddelande upp - "din webbläsare är inaktuell, installera en uppdatering." Sådana banners leder inte till den officiella webbplatsen. Avtal med uppgraderingserbjudandet till tredje parts resurs i 100 % av fallen kommer det att leda till systeminfektion.

Hur man tar bort banner ransomware från din dator

Det finns bara ett sätt med 100% garanti - installerar om Windows. Den enda nackdelen här är en mycket stor - om du inte har ett arkiv med viktiga data från C-enheten, kommer de att gå förlorade under en vanlig ominstallation. Är du sugen på att installera om program och spel på grund av bannern? Då är det värt att notera andra metoder. De delas alla in i två huvudkategorier:

Det finns tillgång till säkert läge;
Du kan inte använda läget Säker start.

Virus förbättras ständigt och kan inaktivera alla OS-startlägen. Därför är det första alternativet att ta bort bannern från din dator inte alltid möjligt.

Med alla olika metoder för skadedjursbekämpning kommer alla operationer ner på en princip. Efter avslutad borttagningsprocedure och en framgångsrik omstart av systemet (när det inte finns några ransomware-banners), behöver du ytterligare åtgärder. Annars kommer viruset att dyka upp igen, eller så fryser datorn. Låt oss titta på de två vanligaste sätten att undvika detta.

Säkert läge

Starta om datorn genom att trycka på F8-tangenten tills en meny med andra OS-startalternativ visas. I den, med hjälp av pilarna på tangentbordet, välj raden "Säkert läge med kommandoradsstöd" från listan.

Om skadlig programvara inte har trängt djupt in i systemet kommer skrivbordet att visas. Via "Start"-knappen väljer du "Sök efter filer och program." I fönstret som visas, fyll i kommandot "regedit". Här behöver du grundläggande kunskap datorsystem för att rensa registret från viruset och ta bort dess konsekvenser.

Låt oss börja med katalogen:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon. I den studerar vi 2 stycken i följd. Shell - endast objektet "explorer.exe" ska finnas. Andra värden - ett tecken på en banner - raderas. Userinit bör innehålla "C:\Windows\system32\userinit.exe". Istället för bokstaven "C" kan det finnas en annan om operativsystemet körs från en annan lokal enhet.

HKEY_CURRENT_USER (liknande underkataloger). Om de underposter som anges ovan finns, måste de raderas.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Kör. Alla misstänkta rader med meningslösa namn måste rensas - till exempel "skjgghydka.exe". Har du några tvivel om skadan av registerfilen? I själva verket är borttagningsprocessen inte nödvändig. Lägg till "1" i början av namnet. Om du har ett fel kommer det inte att starta, och vid behov kan du returnera det ursprungliga värdet.
HKEY_CURRENT_USER (underkataloger). Åtgärderna är desamma som i föregående stycke.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce. Vi upprepar alla operationer.
HKEY_CURRENT_USER (ytterligare sökväg, som i stycket ovan). Vi genomför liknande åtgärder.

När alla åtgärder är slutförda startar vi systemverktyg"cleanmgr". Genom att välja lokal disk med Windows, börja skanna. Sedan, i fönstret som visas, markera alla rutorna utom "Uppdatera paketets säkerhetskopieringsfiler." Efter att ha kört verktyget återstår bara att rengöra och ta bort konsekvenserna av viruset.

Återställer systemet till en kontrollpunkt

För att ta bort en banner från din dator, använd standardåterställning systemet till den befintliga sparpunkten som föregår uppkomsten av winlocker. Processen startas via kommandoraden genom att ange värdet "rstrui". I fönstret som öppnas kan du välja ett rekommenderat datum eller ställa in ett eget från den tillgängliga listan.

Återställningen kommer att ta lite tid och avslutas med en omstart av systemet. Resultatet blir fullständigt avlägsnande skadlig programvara. I vissa fall kan ett meddelande visas som indikerar att det är omöjligt att återställa systemet. Med detta alternativ behöver du bara kontakta servicecentret. Det är bättre att göra detta om du inte har de nödvändiga färdigheterna för att arbeta med registret.

Skydda din dator från att blockeras

Vem som helst kan stöta på en Winlocker-trojan. Att undvika en nervös situation är lätt om du följer enkla regler säkerhet:

Installera ett fungerande antivirusprogram;
Öppna inte misstänkta e-postmeddelanden;
Klicka inte på popup-meddelanden på Internet;
Uppdatera ditt operativsystem regelbundet.

Men om problem redan har uppstått kommer Recomps servicecenter att hjälpa dig. Våra specialister kommer att ta bort blockerande program och andra virus, eliminera spår av deras närvaro och förbättra driften av operativsystemet. Hos oss är det enkelt att undvika förlust av viktig data, och vid behov återställer vi förlorade filer!

Gratis

Jag ber om ditt eventuella deltagande i mitt problem. Min fråga är denna: Hur man tar bort en banner: "Skicka SMS", operativsystem Windows 7. Förresten, det andra systemet är på mitt Windows-dator XP blockerades också av en banner för en månad sedan, jag är en så olycklig användare. Jag kan inte gå in i felsäkert läge, men jag lyckades komma in i datorfelsökning och köra systemåterställning därifrån och felet kom upp - På systemdisk Den här datorn har inga återställningspunkter.

Det var inte möjligt att hitta upplåsningskoden på Dr.Web-webbplatsen, liksom ESET. Nyligen lyckades jag ta bort en sådan banner från en vän med hjälp av ESET NOD32 LiveCD System Recovery Disk, men i mitt fall hjälper det inte. Jag provade också Dr.Web LiveCD. Jag ställde klockan i BIOS framåt med ett år, bannern försvann inte. På olika forum på Internet rekommenderas det att korrigera UserInit- och Shell-parametrarna i registernyckeln HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Men hur tar jag mig dit? Använder du LiveCD? Nästan alla Live-CD anslut inte till operativ system och sådana operationer som att redigera registret, visa startobjekt, samt händelseloggar från en sådan disk är inte tillgängliga eller har jag fel.

I allmänhet finns det information om hur man tar bort en banner på Internet, men för det mesta är den inte komplett och det verkar för mig att många kopierar denna information någonstans och publicerar den på sin hemsida, så att den bara finns där, men fråga dem hur allt fungerar, de kommer att rycka på axlarna. Jag tror att detta inte är ditt fall, men i allmänhet vill jag verkligen hitta och ta bort viruset själv, jag är trött på att installera om systemet. OCH sista frågan- finns det en grundläggande skillnad i metoderna för att ta bort en ransomware-banner i operativsystemen Windows XP och Windows 7. Kan du hjälpa? Sergey.

Hur man tar bort en banner

Det finns en hel del sätt att hjälpa dig bli av med viruset, det kallas också Trojan.Winlock, men om du är en nybörjare kommer alla dessa metoder att kräva tålamod, uthållighet och förståelse från dig att du har stött på en allvarlig fiende , om du inte är rädd, låt oss börja.

Artikeln blev lång, men allt som sagt fungerar verkligen som i en operationssal Windows-system 7, och i Windows XP, om det finns en skillnad någonstans, kommer jag definitivt att notera denna punkt. Det viktigaste att veta är ta bort banner och få tillbaka operativsystemet snabbt, det kommer inte alltid att fungera, men det är meningslöst att sätta pengar på utpressarens konto, du kommer inte att få tillbaka någon upplåsningskod, så det finns ett incitament att slåss för ditt system.
Vänner, i den här artikeln kommer vi att arbeta med Windows 7-återställningsmiljön, eller mer exakt med kommandoraden för återställningsmiljön. Nödvändiga kommandon Jag ska ge det till dig, men om det är svårt för dig att komma ihåg dem så kan du. Detta kommer att göra ditt arbete mycket lättare.

Låt oss börja med det enklaste och avsluta med det komplexa. Hur man tar bort en banner med felsäkert läge. Om din internetsurfning slutar misslyckas och du oavsiktligt ställer in dig själv skadlig kod, då måste du börja med det enklaste - försök att gå in i felsäkert läge (tyvärr kommer du i de flesta fall inte att kunna göra detta, men det är värt ett försök), men Du kommer definitivt att kunna gå in(fler chanser), du måste göra samma sak i båda lägena, låt oss titta på båda alternativen.

I den inledande fasen av att ladda datorn, tryck på F-8, välj sedan, om du lyckas logga in på den kan du säga att du har mycket tur och uppgiften är förenklad för dig. Det första du måste försöka är att rulla tillbaka lite tid med hjälp av återställningspunkter. För de som inte vet hur man använder systemåterställning, läs i detalj här -. Om systemåterställningen inte fungerar, prova något annat.

På raden Kör, skriv msconfig ,

Du ska inte ha något i mappen heller. Eller ligger den kl

C:\Users\Username\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Viktig notering: Vänner, i den här artikeln kommer du att ha att göra med mappar som har attributet Hidden (till exempel AppData, etc.), så så fort du kommer in i Säkert läge eller Säkert läge med kommandoradsstöd, slå på den omedelbart i systemet visar dolda filer och mappar, annars nödvändiga mappar, där viruset gömmer sig, kommer du helt enkelt inte att se. Det är väldigt lätt att göra.

Windows XP
Öppna valfri mapp och klicka på "Verktyg"-menyn, välj "Mappalternativ", gå sedan till fliken "Visa" Kontrollera sedan ""-objektet längst ned och klicka på OK

Windows 7
Starta -> Kontrollpanel->Visa: Kategori -Små ikoner ->Mappalternativ ->Visa. Längst ner, markera rutan " Show dolda filer och mappar».

Så låt oss återgå till artikeln. Låt oss titta på mappen, du borde inte ha något i den.

Se till att det i roten på enheten (C:) inte finns några okända eller misstänkta mappar och filer, till exempel med ett så obegripligt namn OYSQFGVXZ.exe, om det finns några måste du ta bort dem.

Nu uppmärksamhet: I Windows XP tar vi bort misstänkta filer(ett exempel är synligt ovan i skärmdumpen) med konstiga namn och

med tillägget .exe från mappar

C:\
C:\Documents and Settings\Användarnamn\Application Data
C:\Documents and Settings\Användarnamn\Lokala inställningar
C:\Documents and Settings\Användarnamn\Lokala inställningar\Temp- ta bort allt härifrån, det här är mappen med temporära filer.

Windows 7 har en bra säkerhetsnivå och tillåter i de flesta fall inte ändringar i registret skadlig programvara och de allra flesta virus strävar också efter att komma in i katalogen för temporära filer:
C:\USERS\användarnamn\AppData\Local\Temp, härifrån kan du köra den körbara filen.exe. Till exempel tar jag med en infekterad dator, på skärmdumpen ser vi virusfilen 24kkk290347.exe och en annan grupp filer skapade av systemet nästan samtidigt tillsammans med viruset.

Det ska inte finnas något misstänkt i dem, om det finns, tar vi bort dem.

Och se till att:

I de flesta fall kommer ovanstående steg att ta bort bannern och normal laddning system. Efter normal start skanna hela din dator gratis antivirus skanner Med senaste uppdateringarna- Dr.Web CureIt, ladda ner det från Dr.Webs webbplats.

Obs: Du kan omedelbart infektera ett normalt uppstartat system med ett virus igen genom att gå online, eftersom webbläsaren kommer att öppna alla sidor på webbplatser du nyligen har besökt, bland dem kommer det naturligtvis att finnas en viruswebbplats, och en virusfil kan också finnas närvarande i webbläsarens tillfälliga mappar. Vi hittar och, som du använde nyligen på: C:\Users\Username\AppData\Roaming\Webbläsarnamn, (Opera eller Mozilla till exempel) och på ett ställe till C:\Users\Username\AppData\Local\Ditt webbläsarnamn, där (C:) är partitionen med det installerade operativsystemet. Självklart efter av denna åtgärd Alla dina bokmärken kommer att gå förlorade, men risken att bli smittad igen minskar avsevärt.

Säkert läge med kommandoradsstöd.

Om efter allt detta din banner fortfarande lever, ge inte upp och läs vidare. Eller åtminstone gå till mitten av artikeln och läs fullständig information om att korrigera registerinställningar vid infektion med banner ransomware.

Vad ska jag göra om jag inte kunde gå in i säkert läge? Försök Säkert läge med kommandoradsstöd, där vi gör samma sak, men det finns en skillnad V Windows-kommandon XP och Windows 7.

Använd systemåterställning.
I Windows 7, skriv in rstrui.exe och tryck på Enter - vi kommer till fönstret Systemåterställning.

Eller försök att skriva kommandot: explorer - något som ett skrivbord kommer att laddas, där du kan öppna min dator och göra allt på samma sätt som i felsäkert läge - kontrollera din dator för virus, titta på startmappen och roten på enheten (C :), liksom katalogens temporära filer: redigera registret vid behov, och så vidare.

För att komma in i Windows XP Systemåterställning, skriv in kommandoraden - %systemroot%\system32\restore\rstrui.exe,

För att komma in i Windows XP i Utforskaren och fönstret Den här datorn, som i de sju, skriver vi kommandot utforskaren.

här måste du först skriva kommandoutforskaren och du kommer direkt till skrivbordet. Många människor kan inte ändra den ryska standardlayouten till engelska på kommandoraden med alt-shift-kombinationen, försök sedan shift-alt tvärtom.

Gå redan här till Start-menyn, sedan Kör.

välj sedan Startup - radera allt från den, gör sedan allt du gjorde i roten på enheten (C:), ta bort viruset från katalogen för temporära filer: C:\USERS\användarnamn\AppData\Local\Temp, redigera registret vid behov ( allt beskrivs ovan med detaljer).

Systemåterställning. Saker och ting kommer att vara lite annorlunda för oss om du inte kan komma in i felsäkert läge och felsäkert läge med kommandoradsstöd. Betyder detta att du och jag inte kommer att kunna använda Systemåterställning? Nej, det betyder inte att du kan rulla tillbaka med hjälp av återställningspunkter, även om ditt operativsystem inte startar i något läge. I Windows 7 måste du använda återställningsmiljön i den inledande fasen av uppstarten av datorn, tryck på F-8 och välj från menyn Felsökning av din dator,

I fönstret Återställningsalternativ väljer du Systemåterställning igen.

Var nu uppmärksam, om när du trycker på F-8-menyn Felsökning inte är tillgänglig betyder det att dina filer som innehåller Windows 7-återställningsmiljön är skadade.

Är det möjligt att klara sig utan en live-cd? I princip, ja, läs artikeln till slutet.

Låt oss nu tänka på vad vi kommer att göra om vi inte kan starta systemåterställning på något sätt eller om det var helt inaktiverat. Låt oss först se hur du tar bort bannern med hjälp av upplåsningskoden, som vänligen tillhandahålls av företagen som utvecklar antivirusprogram - Dr.Web, såväl som ESET NOD32 och Kaspersky Lab, i det här fallet behöver du hjälp av vänner. Det är nödvändigt för en av dem att gå till upplåsningstjänsten, till exempel Dr.Web

https://www.drweb.com/xperf/unlocker/

http://www.esetnod32.ru/.support/winlock/

samt Kaspersky Lab

http://sms.kaspersky.ru/ och angav i det här fältet telefonnumret som du behöver överföra pengar till för att låsa upp datorn och klickade på knappen - Sök efter koder. Om du hittar upplåsningskoden, skriv in den i bannerfönstret och klicka på Aktivering eller vad det nu står, bannern ska försvinna.

Ett annat enkelt sätt att ta bort bannern är att använda en återställningsskiva eller som de också kallas rescues from and. Hela processen från nedladdning, bränning av bilden till en tom CD och kontroll av din dator för virus, i mer detalj som beskrivs i våra artiklar, kan du följa länkarna, vi kommer inte att uppehålla oss vid detta. Förresten, räddningsskivor från data från antivirusföretag är inte alls dåliga, de kan användas som LiveCDs - för att utföra olika filoperationer, till exempel kopiera personuppgifter från ett infekterat system eller köra läkningsverktyget från Dr.Web - Dr.Web CureIt - från en flashenhet. Och i ESET NOD32 räddningsskivan finns det en underbar sak som har hjälpt mig mer än en gång - Userinit_fix, som korrigerar viktiga registerinställningar på en dator infekterad med bannern - Userinit, filialer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon .

Hur man fixar allt detta manuellt, läs vidare.
Tja, mina vänner, om någon annan läser artikeln vidare, då är jag väldigt glad för er skull, nu börjar det roliga, om ni lyckas lära er och, ännu mer, tillämpa denna informationen i praktiken många enkla människor De personer du befriar från ransomware-bannern kommer att betrakta dig som en riktig hackare.

Låt oss inte lura oss själva, personligen hjälpte allt som beskrivs ovan mig i exakt hälften av fallen där min dator blockerades av ett blockerande virus - Trojan.Winlock. Den andra hälften kräver en mer noggrann övervägande av frågan, vilket är vad vi kommer att göra.
Faktum är att genom att blockera ditt operativsystem, det är fortfarande Windows 7 eller Windows XP, viruset gör sina ändringar i registret, såväl som i Temp-mapparna som innehåller temporära filer och mappen C:\Windows->system32. Vi måste korrigera dessa förändringar. Glöm inte mappen Start->Alla program-> Startup. Nu om allt detta i detalj.

Ta er tid vänner, först kommer jag att beskriva var exakt det som ska fixas finns, och sedan visar jag hur och med vilka verktyg.

I Windows 7 och Windows XP påverkar ransomware-bannern samma UserInit- och Shell-parametrar i registret i grenen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Helst ska de vara så här:
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Kontrollera allt med bokstav, ibland istället för userinit stöter du på till exempel usernit eller userlnlt.
Du måste också kontrollera parametern AppInit_DLLs i registernyckeln HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, om du hittar något där, till exempel C:\WINDOWS\SISTEM32\uvf.dll, måste allt detta raderas.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Kör

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, det borde inte finnas något misstänkt med dem.

Och se till att:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Kör

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (måste vara tom) och i allmänhet borde det inte finnas något överflödigt här heller. ParseAutoexec måste vara lika med 1 .

Du måste också ta bort ALLT från tillfälliga mappar (det finns också en artikel om detta ämne), men i Windows 7 och Windows XP ligger de lite annorlunda:

Windows 7:
C:\Users\Användarnamn\AppData\Local\Temp. Virus gillar särskilt att bosätta sig här.
C:\Windows\Temp
C:\Windows\
Windows XP:
Från:\Dokument och inställningar\Användarprofil\Lokala inställningar\Temp
Från:\Documents and Settings\User Profile\Local Settings\Temporary Internet Files.
C:\Windows\Temp
C:\Windows\Prefetch
Det kommer inte att vara överflödigt att titta på mappen C:\Windows->system32 i båda systemen, alla filer som slutar på .exe och dll med datumet den dag din dator infekterades av bannern. Dessa filer måste raderas.

Se nu hur en nybörjare och sedan en erfaren användare kommer att göra allt detta. Låt oss börja med Windows 7 och sedan gå vidare till XP.

Hur tar man bort en banner i Windows 7 om systemåterställning var inaktiverad?

Låt oss föreställa oss det värsta scenariot. Inloggning till Windows 7 blockeras av en ransomware-banner. Systemåterställning är inaktiverad. Det enklaste sättet är att logga in på Windows 7 med enkel diskåterställning (du kan göra det direkt i Windows 7-operativsystemet - beskrivs i detalj i vår artikel), du kan också använda en enkel installationsskiva Windows 7 eller någon enkel LiveCD. Starta i återställningsmiljön, välj Systemåterställning och välj sedan kommandoraden

och skriv –notepad i den, gå till Notepad, sedan Arkiv och Öppna.

Vi går in i den verkliga utforskaren, klicka på Min dator.

Vi går till mappen C:\Windows\System32\Config, här anger vi filtypen - Alla filer och ser våra registerfiler, vi ser också RegBack-mappen,

i den gör Schemaläggaren var tionde dag en säkerhetskopia av registernycklarna - även om du har inaktiverat systemåterställning. Vad du kan göra här är att ta bort SOFTWARE-filen från mappen C:\Windows\System32\Config, som är ansvarig för HKEY_LOCAL_MACHINE\SOFTWARE-registret, oftast gör viruset sina ändringar här.

Och i dess ställe, kopiera och klistra in en fil med samma namn SOFTWARE från säkerhetskopian av RegBack-mappen.

I de flesta fall kommer detta att räcka, men om du vill kan du ersätta alla fem registry hives från RegBack-mappen i Config-mappen: SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM.

Därefter gör vi allt som skrivits ovan - radera filer från temporära Temp mappar, titta igenom mappen C:\Windows->system32 efter filer med filtillägget .exe och dll med datumet på infektionsdagen och naturligtvis titta på innehållet i Startup-mappen.

I Windows 7 finns det:

C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Startmeny\Programs\Startup.

Windows XP:

C:\Documents and Settings\All Users\Main Menu\Programs\Startup.

Hur gör erfarna användare samma sak, tror du att de använder en enkel LiveCD eller en Windows 7-återställningsskiva? Långt ifrån vänner använder de ett mycket professionellt verktyg - Microsoft Diagnostik och återhämtning Toolset (DaRT) Version: 6.5 för Windows 7- detta är en professionell samling av verktyg som finns på disken och nödvändiga systemadministratörer För snabb återhämtning viktiga parametrar operativ system. Om du är intresserad detta verktyg, läs vår artikel.

Förresten, den kan ansluta perfekt till ditt Windows 7-operativsystem genom att starta upp datorn från disken Microsoft återställning(DaRT), du kan redigera registret, tilldela lösenord, ta bort och kopiera filer, använda systemåterställning och mycket mer. Utan tvekan har inte alla LiveCD sådana funktioner.
Vi startar upp vår dator från denna, som den också kallas, Microsofts återställningsskiva (DaRT), initierar nätverksanslutningen i bakgrund, om vi inte behöver internet vägrar vi.

Tilldela enhetsbokstäver på samma sätt som på målsystemet - vi säger Ja, det är bekvämare att arbeta på det här sättet.

Jag kommer inte att beskriva alla verktyg, eftersom detta är ämnet för en stor artikel och jag förbereder den.
Låt oss ta det första verktyget Registerredigerare ett verktyg som låter dig arbeta med registret för det anslutna operativsystemet Windows 7.

Vi går till Winlogon-parametern för grenen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon och redigerar filerna manuellt – Userinit och Shell. Du vet redan vad deras betydelse borde vara.

Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

I vårt fall måste vi rensa alla tillfälliga Temp-mappar, du vet redan hur många det finns och var de finns i Windows 7 från mitten av artikeln.
Men uppmärksamhet! Eftersom Microsoft Diagnostic and Recovery Toolset är helt anslutet till ditt operativsystem kommer du inte att kunna ta bort t.ex. registerfilerna -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, eftersom de pågår, och vänligen gör ändringar .

Hur man tar bort en banner i Windows XP

Återigen, det är en fråga om verktyget, jag föreslår att du använder ERD Commander 5.0 (länk till artikeln ovan), som jag sa i början av artikeln, det är specifikt utformat för att lösa liknande problem i Windows XP. ERD Commander 5.0 låter dig ansluta direkt till operativsystemet och göra allt vi gjorde med använder Microsoft Diagnostik och återställningsverktyg i Windows 7.
Vi startar vår dator från återställningsskivan. Vi väljer det första alternativet - att ansluta till ett infekterat operativsystem.

Välj registret.

Vi tittar på UserInit- och Shell-parametrarna i grenen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Som jag sa ovan borde de ha denna betydelse.
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Titta även på HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs - den bör vara tom.

Gå sedan till Utforskaren och ta bort allt från de tillfälliga Temp-mapparna.
Hur kan du annars ta bort en banner i Windows XP med ERD Commander (förresten, den här metoden är tillämplig på alla Live CD). Du kan försöka göra detta även utan att ansluta till operativsystemet. Ladda ner ERD Commander och arbeta utan att ansluta till Windows XP,

i det här läget kommer du och jag att kunna ta bort och ersätta registerfiler, eftersom de inte kommer att vara involverade i arbetet. Välj Explorer.

Registerfiler i operativsystemet Windows XP finns i mappen C:\Windows\System32\Config. A säkerhetskopior Registerfilerna som skapades under installationen av Windows XP finns i reparationsmappen, som finns på C:\Windows\repair.

Vi gör samma sak, kopiera mjukvaran först,

och sedan kan du göra resten av registerfilerna - SAM, SECURITY, DEFAULT, SYSTEM i sin tur från reparationsmappen och ersätta dem med samma i mappen C:\Windows\System32\Config. Byta ut fil? Vi håller med - Ja.

Jag vill säga att det i de flesta fall räcker med att byta ut en PROGRAMVARA. När du byter ut registerfiler från reparationsmappen finns det en god chans att starta upp systemet, men de flesta av ändringarna du gjorde efter Windows installationer XP kommer att gå förlorad. Fundera på om den här metoden är rätt för dig. Glöm inte att ta bort allt okänt från start. I princip ska du inte ta bort MSN Messenger-klienten om du behöver den.

Och det sista sättet för idag att bli av med ransomware-bannern med hjälp av ERD Commander-disken eller någon Live CD

Om du hade systemåterställning aktiverat i Windows XP, men du inte kan använda det, kan du prova detta. Gå till mappen C:\Windows\System32\Config som innehåller registerfilerna.

Använd skjutreglaget för att öppna hela filnamnet och ta bort SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM. Förresten, innan du tar bort dem kan du kopiera dem någonstans ifall du aldrig vet. Du kanske vill spela upp den.

Därefter går vi till mappen Systemvolyminformation\_restore(E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2)\RP\ögonblicksbild, här kopierar vi filer som är säkerhetskopior av vår registergren HKEY_LOCAL_MACHINE\
REGISTRY_MACHINE\SAM
REGISTRY_MACHINE\SECURITY
REGISTRY_MACHINE\SOFTWARE
REGISTRY_MACHINE\DEFAULT
REGISTRY_MACHINE\SYSTEM

Klistra in dem i mappen C:\Windows\System32\Config

Sedan går vi till Config-mappen och byter namn på dem, tar bort REGISTRY_MACHINE\, och lämnar därigenom de nya registerfilerna SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM.

Sedan tar vi bort innehållet i Temp- och Prefetch-mapparna och tar bort allt från Startup-mappen som visas ovan. Jag blir glad om det hjälper någon. Förutom artikeln skrevs en kort och intressant sådan, den kan du läsa.