Szczegółowe instrukcje dotyczące odblokowania komputera, na wypadek, gdy staniesz się ofiarą tak zwanego banera, informującego o zablokowaniu komputera. Uwzględniono kilka typowych sposobów (być może najbardziej skuteczny w większości przypadków jest edycja rejestru Windows).
Jeśli baner pojawia się bezpośrednio po ekranie BIOS, zanim system Windows zacznie się ładować, rozwiązania w nowym artykule Jak usunąć baner
Baner na pulpicie (kliknij, aby powiększyć)
Informacje ogólne
Taki atak, jak bannery smsowe, szantażystów jest jednym z najczęstszych problemów dzisiejszych użytkowników - mówię to jako osoba zajmująca się naprawą komputerów w domu. Zanim zaczniemy mówić o sposobach usunięcia banera SMS, zwrócę uwagę na niektóre punkty o charakterze ogólnym, które mogą być przydatne dla tych, którzy mają do czynienia z tym po raz pierwszy.
Przede wszystkim pamiętaj:- Nie musisz wysyłać żadnych pieniędzy na żadną liczbę - w 95% przypadków to nie pomoże, nie powinieneś również wysyłać wiadomości SMS na krótkie numery (choć jest mniej banerów z podobnym wymaganiem).
- z reguły w tekście okna pojawiającego się na pulpicie,są wzmianki o tym, jakie straszne konsekwencje czekają na ciebie, jeśli nie będziesz się sprzeciwił i zrobi to samo: usunięcie wszystkich danych z komputera, postępowanie karne itp. - nie powinieneś wierzyć w cokolwiek napisanego, wszystko to jest skierowane tylko na fakt, że nieprzygotowany użytkownik, bez zrozumienia, poszedł szybko do terminalu płatniczego, aby umieścić 500, 1000 lub więcej rubli.
- Narzędzia, które pozwalają uzyskać kod odblokowujący bardzo często nie znają tego kodu - po prostu dlatego, że nie ma go w banerach - jest tam okno do wpisania kodu odblokowującego, ale nie ma kodu samego w sobie: oszuści nie muszą komplikować życia i zapewniać usunięcie ich szantażystycznego SMS-a zdobyć pieniądze.
- Jeśli zdecydujesz się zwrócić do specjalistów, możesz napotkać następujące: niektóre firmy, które świadczą pomoc techniczną, a także poszczególni mistrzowie, będą nalegać na ponowne zainstalowanie systemu Windows w celu usunięcia banera. Tak nie jest, w tym przypadku nie jest wymagana ponowna instalacja systemu operacyjnego, a ci, którzy twierdzą inaczej, nie mają wystarczających umiejętności i używają reinstalacji jako najprostszego sposobu rozwiązania problemu.oni nie wymagają; lub są ustawione na uzyskanie dużej kwoty, ponieważ cena takiej usługi, jak instalacja systemu operacyjnego, jest wyższa niż usunięcie banera lub leczenie wirusów (poza tym niektóre pobierają oddzielny koszt za zapisanie danych użytkownika podczas instalacji).
Jak usunąć baner - instrukcja wideo
Ten film pokazuje najbardziej skuteczny sposób na usunięcie banera ransomware przy użyciu Edytora rejestru systemu Windows w trybie awaryjnym. Jeśli coś jest pominięte w filmie, nie jest jasne, to poniżej tej samej metody jest szczegółowo opisane w formacie tekstowym ze zdjęciami.
Usuwanie banera za pomocą rejestru
(nie nadaje się w rzadkich przypadkach, gdy pojawia się komunikat ransomware przed załadowaniem systemu Windows, tj. natychmiast po inicjalizacji w systemie BIOS, bez pojawienia się logo Windows podczas ładowania, pojawia się tekst banera)
Oprócz przypadku opisanego powyżej, ta metoda działa prawie zawsze. Nawet jeśli nie masz doświadczenia w pracy z komputerem, nie bój się - postępuj zgodnie z instrukcjami i wszystko się ułoży.
Najpierw musisz uzyskać dostęp do Edytora rejestru systemu Windows.Najłatwiejszym i najbardziej niezawodnym sposobem jest uruchomienie komputera w trybie awaryjnym z obsługą linii poleceń. Aby to zrobić: włącz komputer i naciśnij klawisz F8, aż pojawi się lista opcji trybu uruchamiania. W niektórych BIOS-ach klawisz F8 może wywołać menu z wyborem dysku do uruchomienia - w tym przypadku wybierz główny dysk twardy, naciśnij Enter i natychmiast po tym - znowu F8. Wybierz już wspomniany - tryb awaryjny z obsługą linii poleceń.
Wybierz tryb awaryjny z obsługą linii poleceń
Następnie czekamy na załadowanie konsoli z sugestią wprowadzania poleceń. Wpisz: regedit.exe, naciśnij Enter. W rezultacie powinieneś zobaczyć przed sobą edytor rejestru systemu Windows. Rejestr systemu Windows zawiera informacje o systemie, w tym dane dotyczące automatycznego uruchamiania programów po uruchomieniu systemu operacyjnego. Gdzieś tam nagrywaliśmy siebie i nasz sztandar, a teraz go tam znajdziemy i usuniemy.
Użyj edytora rejestru, aby usunąć baner
Po lewej stronie w edytorze rejestru widzimy foldery zwane sekcjami. Musimy to sprawdzić w tych miejscach, w których wirus może się zarejestrować, nie ma żadnych zbędnych zapisów, a jeśli są, usuń je. Jest kilka takich miejsc i musisz sprawdzić wszystko. Pierwsze kroki
Wejdź HKEY_CURRENT_USER -> Oprogramowanie -> Microsoft -> Windows -> CurrentVersion -> Uruchom
- po prawej stronie wyświetlana jest lista programów uruchamianych automatycznie po załadowaniu systemu operacyjnego, a także ścieżka do tych programów. Musimy usunąć te, które wyglądają podejrzanie.
Opcje uruchamiania, w których baner może się ukryć
Z reguły mają one nazwy składające się z losowego zestawu cyfr i liter: asd87982367.exe, inną charakterystyczną cechą jest obecność w folderze C: / Documents and Settings / (podfoldery mogą się różnić), może to być również plik ms.exe lub inne pliki znajduje się w folderach C: / Windows lub C: / Windows / System. Należy usunąć takie podejrzane wpisy rejestru. Aby to zrobić, kliknij prawym przyciskiem myszy w kolumnie Nazwa według nazwy parametru i wybierz "usuń". Nie bój się usunąć czegoś, co nie jest - nic nie zagraża: lepiej usunąć stamtąd nieznane programy, zwiększy to nie tylko prawdopodobieństwo, że pojawi się wśród nich banner, ale może także przyspieszyć pracę komputera w przyszłości ładowanie automatyczne kosztuje wiele rzeczy niepotrzebnie i niepotrzebnie, dlatego komputer spowalnia). Ponadto podczas usuwania parametrów należy pamiętać ścieżkę do pliku, aby następnie usunąć go z jego lokalizacji.
Wszystkie powyższe powtarza sięHKEY_LOCAL_MACHINE -> Oprogramowanie -> Microsoft -> Windows -> CurrentVersion -> Uruchom
W kolejnych sekcjach działania są nieco inne:HKEY_CURRENT_USER -> Oprogramowanie -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon
. Tutaj musisz upewnić się, że nie ma żadnych parametrów, takich jak Shell i Userinit. W przeciwnym razie usuń, nie należą one tutaj.HKEY_LOCAL_MACHINE -> Oprogramowanie -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon
. W tej sekcji należy upewnić się, że wartość parametru USerinit jest ustawiona jako: C: \ Windows \ system32 \ userinit.exe, a parametr powłoki jest ustawiony na explorer.exe.Winlogon dla bieżącego użytkownika nie powinien mieć parametru powłoki
Ogólnie wszystko. Teraz możesz zamknąć edytor rejestru, wprowadzić explorer.exe do wiersza poleceń nienadzorowanego (zostanie uruchomiony pulpit systemu Windows), usunąć pliki, których lokalizację znaleźliśmy podczas pracy z rejestrem, ponownie uruchomić komputer w trybie normalnym (ponieważ jest teraz w trybie bezpiecznym ). Z dużym prawdopodobieństwem wszystko będzie działać.
Jeśli nie można uruchomić systemu w trybie awaryjnym, można użyć dowolnej Live CD z edytorem rejestru, takim jak Edytor rejestru PE, i wykonać wszystkie powyższe operacje w nim.
Usuwamy baner za pomocą specjalnych narzędzi.
Jednym z najbardziej efektywnych narzędzi do tego jest Kaspersky Windows Unlocker. W rzeczywistości robi to samo, co można zrobić ręcznie przy użyciu metody opisanej powyżej, ale automatycznie.Aby z niego skorzystać, musisz pobrać Kaspersky Rescue Disk z oficjalnej strony, wypalić obraz dysku na pustej płycie CD (na niezainfekowanym komputerze), a następnie uruchomić komputer z utworzonego dysku i wykonać wszystkie niezbędne operacje. Użycie tego narzędzia, a także wymagany plik obrazu dysku jest dostępny http://support.kaspersky.com/viruses/solutions?qid=208642240. Kolejny świetny i prosty program, który pomoże ci łatwo usunąć baner, jest opisany tutaj.
Podobne produkty innych firm:- Dr.Web LiveCD http://www.freedrweb.com/livecd/how_it_works/
- AVG Rescue CD http://www.avg.com/us-en/avg-rescue-cd-download
- Rescue Image Vba32 Ratuj http://anti-virus.by/products/utilities/80.html
Uczyliśmy się kodu, aby odblokować system Windows
Baner pojawia się przed załadowaniem systemu Windows
Jest to rzadki przypadek, gdy oprogramowanie ransomware jest ładowane zaraz po włączeniu komputera, co oznacza, że nieuczciwy program został pobrany do głównego rekordu rozruchowego MBR. W tym przypadku, dostanie się do edytora rejestru nie będzie działać, co więcej, baner nie jest ładowany z tego miejsca. W niektórych przypadkach otrzymasz pomoc Live CD, którą możesz pobrać z linków wymienionych powyżej.
Jeśli masz zainstalowany system Windows XP, możesz naprawić partycję rozruchową dysku twardego przy użyciu dysku instalacyjnego systemu operacyjnego. Aby to zrobić, musisz uruchomić komputer z tego dysku, a gdy pojawi się monit o przejście do trybu odzyskiwania systemu Windows, naciskając klawisz R, zrób to. W rezultacie powinien pojawić się wiersz polecenia. W tym celu musimy wykonać polecenie: FIXBOOT (potwierdź, naciskając Y na klawiaturze). Ponadto, jeśli dysk nie jest podzielony na kilka partycji, można wykonać polecenie FIXMBR.
Jeśli nie ma dysku instalacyjnego lub masz zainstalowaną inną wersję systemu Windows, istnieje możliwość naprawy głównego rekordu rozruchowego za pomocą narzędzia BOOTICE (lub innych narzędzi do pracy z sektorami rozruchowymi dysku twardego). Aby to zrobić, pobierz go w Internecie, zapisz na dysku USB i uruchom komputer z Live CD, a następnie uruchom program z dysku flash USB.
Pojawi się następujące menu, w którym należy wybrać główny dysk twardy i kliknąć przycisk Process MBR. W następnym oknie wybierz typ rekordu rozruchowego, którego potrzebujesz (zwykle jest wybierany automatycznie), kliknij przycisk instalacji / konfiguracji, a następnie OK. Po wykonaniu przez program wszystkich niezbędnych czynności, uruchom ponownie komputer bez płyty CD LIve - wszystko powinno działać jak poprzednio.