Čo robiť, ak je systém Windows uzamknutý. Čo robiť, ak je systém Windows zamknutý? Naše ďalšie kroky sú:

Tak ako dnes sa ľudia nesnažia zarobiť peniaze, ba čo viac, zabúdajú na ľudskosť, ktorú do nás Pán vložil. Je úžasné, koľko ľudia strácajú klamaním a kradnutím iných. Veď zákon nášho sveta, ktorý hovorí: „Čo človek seje, to bude aj žať“, ešte nebol zrušený. A po chvíli vyvstávajú otázky: "Prečo?"

V tomto článku vám, milí čitatelia, poviem o jednom z podvodných akcií zameraných na vyberanie si vrecka – keď váš počítač napadne vírus uvoľnený „chytrými“ ľuďmi, ktorý blokuje OS Windows, a je jedno, akú verziu vášho operačného systému - XP, 7, 8, 10 alebo iné. Určite viete, čo tým myslím, však? najmenej Myslím, že mnohí z vás sa stretli s podobným problémom? Áno áno hovorím o banneri ransomvéru, ktorý sa objaví hneď po zapnutí počítača a zablokuje Windows. Tento banner môže naznačovať, že ste si pozreli nejaké zakázané video a teraz potrebujete niekomu urgentne poslať peniaze, napríklad cez Webmoney, a na oplátku dostať SMS s odblokovacím kódom operačný systém.

Ani neuvažujte o tom, že by ste niekomu niečo platili, pretože... Nebudú vám posielať SMS s odblokovacím kódom. Nech sa Pán vysporiada s týmito útočníkmi lepšie a ja sa vám medzitým pokúsim pomôcť odomknúť váš počítač.

Ako sa banner ransomware dostane do počítača?

1. Banner Ransomware vírus sa môže dostať do vášho počítača spolu s bezplatné programy alebo hry stiahnuté z pochybných zdrojov.

2. Ak si z internetu sťahujete fotografie, hudbu, videá atď. a tieto súbory majú príponu .exe (názov súboru.exe), namiesto zodpovedajúceho .jpg, .mp3, .avi, .mkv (názov súboru .jpg).

3. Ak na niektorých stránkach uvidíte banner, ktorý hovorí, že potrebujete niečo aktualizovať alebo preinštalovať, a kliknutím na ktorý neprejdete na oficiálne stránky svojich programov, ale na ich klony.

4. Ak na vašom počítači/notebooku nie je nainštalovaný antivírus, potom sa vírus môže dostať do vášho počítača jednoducho zo stránok rôznych stránok.

Odomknite Windows, t.j. Banner ransomware, ktorý blokuje váš počítač, môžete odstrániť nasledujúcimi spôsobmi:

1. Preinštalujte systém Windows.
2. Vyčistite register Windows, t.j. odstráňte banner zo spustenia systému.
3. S zavádzací disk pomocou špeciálneho antivírusového softvéru (programov) na odstránenie vírusov zo systému.

V dnešnom príspevku porozprávame sa Druhým spôsobom je odstránenie banneru ransomware zo spustenia operačného systému.

Metóda č. 1: Ako odomknúť Windows vyčistením systémového registra

Bez ohľadu na to, ako komplikovane to môže znieť, v skutočnosti je to jednoduché. Len sa toho držte ďalšie pokyny, a buďte opatrní.

1. Vstúpte do núdzového režimu systému Windows. Ak to chcete urobiť, po zapnutí počítača počas načítavania operačného systému stlačte kláves "F8". Mala by sa zobraziť čierna obrazovka, ktorá vám umožní vybrať možnosti zavádzania systému. Vyberte si « Bezpečnostný mód» .

2. Pri zavádzaní systému Windows stlačte klávesovú skratku "Win+R". Alebo "Štart - Spustiť".

3. V zobrazenom okne zadajte: regedit

Dôležité! Ak sa v „Núdzovom režime“ zobrazí aj banner ransomvéru, reštartujte počítač znova a pomocou „F8“ vyberte z ponuky „Núdzový režim s podporou“ príkazový riadok" Keď sa počítač spustí a objaví sa čierna obrazovka s blikajúcim kurzorom, zadajte tiež „regedit“ a stlačte „Enter“. Zobrazí sa rovnaké okno s registrom.

4. Prejdite na adresu: HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon a skontrolujte, či nasledujúce hodnoty majú nasledujúce nastavenia:

Shell– naopak by tam mal byť len „explorer.exe“.
Userinit– naopak by tam malo byť len „C:\Windows\system32\userinit.exe,“. Ak systém Windows nie je nainštalovaný na jednotke C:, písmeno tu bude iné.

Ak sú hodnoty odlišné, opravte to tak, aby to dopadlo tak, ako som napísal vyššie. Ak to chcete urobiť, kliknite pravým tlačidlom myši na riadok, v ktorom chcete zmeniť hodnotu, a vyberte možnosť „Zmeniť“.

5. Prejdite na adresu: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Uistite sa, že tu nie sú žiadne položky „Shell“ a „Userinit“. Ak existujú, odstráňte ich.

6. Na nasledujúcich adresách kontrolujeme prítomnosť podozrivých záznamov, ako napr. fgkthsinlr.exe ktoré je potrebné odstrániť:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Ak si nie ste istí, že záznam, ktorý ste našli, je vírus, kliknite naň pravým tlačidlom myši a vyberte „Upraviť“. Nastavte hodnotu na „1“. Týmto spôsobom vypnete toto nahrávanie a ak sa niečo pokazí, môžete to opraviť.

7. Reštartujte počítač a radujte sa! Windows už musí byť odomknuté.

Metóda č. 2: Ako odomknúť systém Windows pomocou nástrojov (antivírusový softvér)

Ak bolo pre vás ťažké zistiť, ako odomknúť počítač pomocou metódy čistenia systémový register Windows, potom môžete skúsiť použiť špeciálne antivírusové nástroje(programy), pomocou ktorých to môžete urobiť len niekoľkými kliknutiami.

Programy na odomknutie systému Windows

AntiWinLocker LiveCD http://www.antiwinlocker.ru/download.html
Kaspersky Záchranný disk : Môžete si stiahnuť z tohto odkazu: http://sms.kaspersky.ru/
Dr.Web LiveDisk http://www.freedrweb.com/livedisk/
- úžitkový AVZ. Môžete si ho stiahnuť z tohto odkazu: http://www.z-oleg.com/secur/avz/download.php

Postup na odomknutie počítača pomocou nástrojov sa v podstate obmedzuje na zaznamenávanie ich obrázkov na flash disk ( USB disk), povoľte spustenie počítača z USB a vo vyskakovacích oknách kliknite na „Štart“, „Anti SMS“, „Vymazať“ atď.

Viac o týchto programoch napíšem neskôr, ale to je na dnes všetko. Ak vám niečo nefunguje, napíšte do komentárov, pokúsime sa to spoločne vyriešiť.

Dnes vám predstavíme ďalšiu počítačový vírus- Windows je zamknutý. Systém Windows je zablokovaný, čo je tiež známe ako ransomvér zablokovaný systémom Windows. Táto hrozba nie je krypto-ransomvér a nešifruje súbory obete. Zamkne však ich počítač a požiada obeť, aby zaplatila, ak chce znova získať prístup k počítaču. Blokovaním počítača obmedzuje používateľa v používaní programov alebo súborov, ktoré sú uložené v počítači. Zobrazí sa aj správa zapnutá Celá obrazovka, v ktorom sa uvádza, že používateľ počítača musí zaplatiť výkupné, aby mohol počítač znova používať.

Vírus Windows je zablokovaný a požiada vás, aby ste si kúpili dobitie karty v hodnote 400-600 rubľov a do poskytnutého poľa zadali kód zločincov. Kybernetickí zločinci sľubujú odomknutie počítača ihneď po tom, ako obeť zaplatí výkupné. Vírus hovorí, že platba musí byť vykonaná do 10 hodín, inak dôjde k poškodeniu počítačového systému. Svoju peňaženku však ani nezačnite hľadať, pretože prístup k počítaču je úplne možné získať aj bez peňazí. Všetko, čo musíte urobiť, je odstrániť Windows vírus zablokované vo vašom systéme.

Odporúča sa odstrániť tento vírus pomocou softvéru, pretože je veľmi ťažké tento vírus manuálne zistiť a odstrániť. Tento vírus zvyčajne pomenováva svoje súbory inak, takže používatelia ho nebudú môcť rýchlo identifikovať a odstrániť. Vieme len to, kam vírus zapisuje svoje súbory. Uloží ich do priečinka Stiahnuté súbory alebo Temp, ale ak chcete vstúpiť do týchto priečinkov, musíte reštartovať počítač a prejsť do núdzového režimu. môžeš nájsť podrobné pokyny ako odstrániť uzamknutý systém Windows na strane 2.

Ako sa môže zablokovaný malvér systému Windows dostať do vášho počítača?

Windows virus blocked si môžete stiahnuť z oficiálnej webovej stránky alebo webovej stránky malvér. Kybernetický zločinci radšej používajú klikacie útoky a umiestňujú škodlivé odkazy do mierne podozrivého obsahu, takže ak máte čo i len najmenšie podozrenie, že reklama, odkaz alebo tlačidlo, na ktoré sa chystáte kliknúť, vás môžu priviesť na nebezpečné webové stránky, neklikajte na ich . Ak chcete chrániť svoj počítač pred škodlivým softvérom, mali by ste ho chrániť pomocou nástroja proti spywaru, ako je .

Škodlivé súbory sa tiež šíri po celom svete e-mail. Tím 2-Spyware dôrazne odporúča používateľom sledovať e-maily, ktoré prichádzajú od neznámych osôb, najmä ak ponúkajú otváranie príloh. Podvodníci tiež zvyknú posielať rušivé e-maily a ak ich chcete zablokovať, vytvorte si filter pre e-maily namiesto kliknutia na tlačidlo „Zrušiť odber“ v poskytnutej správe. Zločinci zvyčajne za toto tlačidlo vkladajú škodlivé prílohy.

Ak Trojan Windows zablokovaný už vstúpil do vášho počítača, postupujte podľa pokynov na odinštalovanie systému Windows zablokovaný, ktorý je uvedený na strane 2, a čo najskôr ho odstráňte z počítača.

Ako odstrániť blokovaný vírus Windows?

Nemusíte sa báť Hrozby pre Windows zablokovaný a neponáhľajte sa mu zaplatiť, pretože tento vírus sa dá celkom vyradiť z prevádzky jednoduchým spôsobom. Keďže tento vírus nešifruje súbory, ale iba blokuje prístup k nim, nie je nebezpečný, pretože odstránením tohto vírusu môžete k súborom opäť získať prístup. Prosím použite Pokyny pre systém Windows zablokované nižšie a odstráňte túto hrozbu zo svojho počítača. Zabrániť počítačové hrozby ktoré môžu infikovať váš počítač, odporúčame vám nainštalovať mocný nástroj ochranu. Z tohto dôvodu odporúčame inštaláciu antivírusové činidlo SpyHunter. Nezabudnite pravidelne aktualizovať softvér, pretože len tak bude môcť identifikovať a eliminovať Najnovšia verziaškodlivá hrozba.

Ahoj! Dnes budem písať o tom, ako odstrániť blokovanie pracovnej plochy, ktoré sa objavilo po infikovaní počítača vírusom, ktorý blokoval systém Windows. A teraz pred sebou vidíte okno, ktoré vyžaduje zadanie odblokovacieho kódu, ktorý si môžete kúpiť zaplatením určitú sumu po odoslaní SMS na číslo útočníka.

Ako odomknúť Windows zadarmo?

Nikto nechce platiť peniaze za odomknutie systému Windows. A ak zaplatíte peniaze na účet uvedený podvodníkmi, neexistuje žiadna záruka, že vám pošlú kľúč windows bude odomknutý. Preto sa pozrieme na spôsoby, ako bezplatne odomknúť systém Windows:

Metóda 1 je zmeniť dátum v systéme BIOS počítača. Pre tých, ktorí nemajú počítač, sa pokúsim vysvetliť, ako vstúpiť do systému BIOS. Zapnuté systémová jednotka Existuje tlačidlo reštartu - kliknite naň, ak je počítač zapnutý. Ak je počítač vypnutý, potom ho zapnite. Niekoľko sekúnd po spustení počítača stlačte a podržte klávesnicu kláves DELETE. Ak ste sa úspešne prihlásili, zobrazí sa obrazovka modré pozadie v anglickom menu BIOS. V systéme BIOS musíte prejsť do časti Štandardné funkcie CMOS, bude tam pole aktuálny dátum, zmeňte dátum na skorší dátum. Po zmene dátumu stlačte Esc a dostanete sa do hlavného menu. Ak chcete uložiť údaje, vyberte položku Save & Exit Setup a potom stlačením tlačidla y potvrďte uloženie. Táto metóda pomôže vyriešiť problém s blokovaním bannerov okná fungujú, ale vírus ešte treba nájsť a odstrániť.

2. metóda - ísť s mobilný telefón alebo z iného počítača na antivírusové stránky Doctor Web https://www.drweb.com/xperf/unlocker/ alebo Kaspersky http://www.kaspersky.ru/support/viruses/deblocker a v týchto častiach vyhľadajte odomykací kľúč.

Tretia metóda je nájsť a odstrániť vírus sami. Postupnosť akcií: pri načítaní systému Windows stlačte kláves F8 a vyberte spustenie v núdzovom režime s podporou príkazového riadka; načíta sa okno, do ktorého zadáme príkaz regedit, otvorí sa register, pozor NIČ NEMAZAJTE, prejdite do vetvy HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon a na pravej strane nájdite súbor s názvom Shell. ; zapíšte si cestu k nej, ktorá je tam napísaná a kliknite 2 krát a túto cestu vymažte; potom do príkazového riadku zadajte explorere.exe a reštartujte, Windows sa zapne bez problémov a bez blokovacieho bannera. Teraz postupujte podľa cesty, ktorú ste si zapísali, a odstráňte súbor tohto vírusu! Týmto spôsobom odstránite vírus, ktorý zablokoval systém Windows.

4. metóda - stlačte F8 pri zavádzaní systému Windows a skúste spustiť Obnovovanie systému výberom kontrolný bod zotavenie. Po úspešnom zotavení musíte odstrániť vírus, spustiť antivírusový program a prehľadajte celý počítač.

5. metóda - v rade rýchly obed ikony týchto vírusov sú viditeľné. Keď umiestnite kurzor myši na ikonu, zobrazí sa názov súboru, ktorý často pozostáva zo sady čísel. Na nájdenie tohto súboru použite vyhľadávanie. Takýto súbor nemôžete len tak vymazať. Najprv ho premenujte a potom odstráňte a nezabudnite vysypať kôš. A pre každý prípad oskenujte systém antivírusom.

6. metóda - naformátujte lokálny disk, na ktorom je nainštalovaný systém Windows. Táto možnosť však povedie k strate údajov uložených na lokálny disk. A toto je najviac radikálnym spôsobom bojovať proti blokátoru systému, použite ho iba vtedy, ak sú vyššie uvedené metódy Odomknutie systému Windows nepomohlo.

Ako odstrániť vírus po odomknutí? Stiahnuť ▼ cureit program, ktorý odstraňuje blokátory trójskych koní zo systému Windows. Tu je odkaz http://www.freedrweb.com/cureit/?lng=ru Vírus je často zaregistrovaný v priečinku C:\System Volume Information

Trojan - vírusy z rodiny Winlock, ktoré blokujú prácu systémy Windows, sú vydierači skutočných peňazí. V priebehu niekoľkých v posledných rokoch sa nielen vyvinuli, ale začali aj reprezentovať vážny problém bezpečnosť počítačové systémy. Odporúčame vám prečítať si odporúčania, ako s nimi môžete bojovať sami a niekedy dokonca zabrániť infekcii vlastného počítača.

V systéme sa rýchlo objaví trójsky vírus a najhoršia vec je - bez povšimnutia. Používateľ vykonáva bežné úkony, prehliada stránky, komunikuje alebo sťahuje potrebné súbory. A zrazu sa na obrazovke objaví banner, ktorý sa jednoducho nedá odstrániť. Bannerové obrázky môžu byť rôzne - pornografické alebo dokonca hrozivo navrhnuté.

Ale nakoniec je používateľ vynútený, aby previedol požadovanú sumu peňazí na účet alebo poslal platenú SMS. Takéto bannery sú vždy umiestnené navrchu všetkých ostatných okien, aby upútali pozornosť používateľa. Na konci správy môžete takmer vždy nájsť hrozbu trestného stíhania alebo odstránenie všetkých priečinkov a súborov z diskov počítača, ak sa prevod finančných prostriedkov nedokončí v obmedzenom časovom období.

Dúfame, že chápete, že by sa nemali vykonávať žiadne prevody peňazí. Najprv je vhodné pokúsiť sa zistiť operátora určené číslo mobilné komunikácie, potom incident nahláste bezpečnostnej službe. Niekedy vám operátori budú môcť povedať aj odblokovací kód online režim s takýmto „šťastím“ by ste však nemali príliš počítať.

Bojujeme sami

Kód na odomknutie existuje a možno ho použiť na zničenie niektorých trójskych koní. Proces sa vyskytuje veľmi zriedkavo sebaodstránenie, po zadaní správneho kódu, ktorý možno niekedy získať prejdením do príslušných sekcií na webových stránkach. Príklad.

Spoločnosť Kaspersky Lab ponúka aj službu na odblokovanie systému.

Ak chcete používať túto službu, musíte z iného počítača alebo smartfónu prejsť na určité časti webových stránok spoločnosti Kaspersky Lab, Doctor Web alebo iných vývojárov antivírusov.

Ak sa vám podarilo úspešne dokončiť odomknutie, neponáhľajte sa radovať a vypnite počítač. Stiahnite si zadarmo nejaký antivírus a dajte systému pokyn, aby vykonal kontrolu. Odporúčame použiť Utility Kaspersky VRT ( Odstránenie vírusov Nástroj) alebo Doktor WEB Vyliečte to.

Liečba vírusov

Pred použitím komplexné metódy A špeciálny softvér, treba skúsiť využiť dostupné prostriedky.

Stlačením kláves CTRL+SHIFT+ESC alebo štandardnou kombináciou CTRL+ALT+DEL vyvoláme správcu úloh. Ak túto akciu fungovalo, potom s ním musíte bojovať jednoduchá možnosť vírus. Okrem toho bude boj rýchly a nekomplikovaný. Stačí nájsť názov vírusu v zozname pracovných procesov a vybrať možnosť „vynútiť ukončenie“.

Podozrivo zvláštny proces, ktorý je zistený v správcovi úloh, môže byť trójsky kôň.

Ak nájdete vágny názov procesu a žiadny popis, potom robíte správnu vec. Zostáva len dokončiť tento proces. Môžete tiež jednoducho začať ukončovať všetky „podozrivé“ procesy jeden po druhom, kým banner nezmizne.

Ak sa dispečer nespustí, môžete skúsiť použiť pokročilého správcu procesov. Nižšie môžete vidieť, ako vyzerá podozrivý proces v System Explorer.

System Explorer je pokročilý správca procesov

Tento program si môže stiahnuť ktokoľvek prístupným spôsobom. Výberom príkazu „Skontrolovať“ vyhľadáte informácie o konkrétnom procese v online databáze, ale najčastejšie sa obraz vyjasní. Po zatvorení bannera by ste mali reštartovať Explorer a vybrať proces explorer.exe. V správcovi systémových procesov kliknite na:

Súbor » Nová úloha » c:\Windows\explorer.exe.

Akonáhle je trójsky kôň dočasne deaktivovaný, všetko, čo musíte urobiť, je nájsť jeho súbor a potom ho odstrániť. Tieto kroky je možné vykonať manuálne alebo pomocou bezplatného antivírusového programu.

Štandardné umiestnenie trójskeho koňa sú rôzne adresáre dočasné súbory a systémy. Vhodné je aj vyrábať úplná kontrola, pretože kópie vírusu sa môžu skrývať v rôzne miesta a narúšať činnosť viac ako len jedného systému. Úplný zoznam objektov v režime automatického spustenia je možné zobraziť úplne bezplatný nástroj Autoruns.

AutoRuns predvedie všetky objekty, ktoré majú režim automatického spustenia (len malá časť je viditeľná v demo verzii snímky obrazovky).

Triky vojny

"Porazte" Trójanov počiatočná fáza je to možné, ak poznáte charakteristiky správania štandardné programy. Keď uvidíte banner, skúste spustiť Poznámkový blok alebo WordPad. Stlačením WIN + R skúste napísať poznámkový blok a potom stlačte tlačidlo ENTER. Nižšie pod bannerom uvidíte nový Dokument programu Word. Po napísaní akéhokoľvek abrakadabra krátko stlačte hlavný vypínač priamo na systémovej jednotke. To by malo spôsobiť ukončenie všetkých procesov vrátane vírusu Trojan, no počítač sa nevypne.

Poznámkový blok pomáha vrátiť prístup správcovi!

Stará škola

Pokročilé moderné verzie trójskych koní sú vybavené prostriedkami na boj proti všetkým pokusom o ich zbavenie sa. Takéto vírusy môžu blokovať spustenie systémový manažérúlohy, nahradenie iných komponentov systému.

V takom prípade musíte najskôr reštartovať počítač podržaním klávesu F8 Spustenie systému Windows. Spustite systém v režime „Núdzový režim s podporou príkazového riadka“. Po dokončení zavádzania napíšte na klávesnici slovo prieskumník a stlačte ENTER. Výsledkom bude spustenie Prieskumník systému Windows. Ďalej musíte napísať regedit a stlačiť ENTER. Zobrazí sa Editor databázy Registry. V registri nájdete položky vytvorené trójskym koňom a miesto, odkiaľ bol stiahnutý a spustený.

Kľúče databázy Registry, ktoré sú často upravované trójskymi koňmi Winlock

Úplné cesty priamo k súborom trójskych koní môžete často vidieť v sekciách Shell a Userinit vetvy registra HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

V „Shell“ je trójsky kôň napísaný namiesto explorer.exe a v „Userinit“ je uvedený hneď za čiarkou. Treba skopírovať celé meno Trojan súbor do schránky od prvého záznamu, ktorý bol zistený. Do príkazového riadku napíšeme del, potom pridáme medzeru a kliknutím myšou otvoríme kontextové menu.

V ňom musíte zvýrazniť príkaz „Vložiť“ a stlačiť ENTER. Týmto spôsobom bude súbor Trojan odstránený. Pri odstraňovaní trójskeho koňa z konzoly sa odstránený súbor nachádza v dočasnom priečinku.

Musíte tiež vyhľadať názov súboru trójskeho koňa v registri operačného systému, starostlivo skontrolovať všetky nájdené položky a odstrániť všetky podozrivé. Ďalej prejdite na vymazanie všetkých dočasných priečinkov a koša. Nakoniec musíte skenovať pomocou akéhokoľvek antivírusu.

Ak trójsky kôň zablokoval prácu sieťové pripojenia, môžete sa ich pokúsiť obnoviť pomocou malého, ale výkonného inžinierske siete AVZ cez nastavenia rozhrania Windows Sockets API.

Skvelá práca

V prípadoch vážneho zamorenia je takmer zbytočné pokúšať sa bojovať vo vnútri infikovaný systém. Je logické zaviesť systém z akéhokoľvek iného čistý systém a relatívne pokojne sa pokúsiť vyliečiť hlavný, infikovaný systém. Existovať rôzne cesty dá sa to urobiť, ale jedným z najjednoduchších je bezplatný nástroj Kaspersky Windows Unlocker. Podobne ako Dr WEB LiveCD tento program založený na Gentoo Linuxe. Súbor - obrázok zapíšeme na nejaký disk alebo vytvoríme bootovací USB pomocou nástroja Kaspersky USB Rescue Disk Maker.

Vytvorte zavádzaciu jednotku Flash pomocou obrázka Kaspersky Rescue Disk

Skúsení používatelia to môžu urobiť vopred, zatiaľ čo iní sa najčastejšie obracajú na priateľov, kolegov alebo zájdu do najbližšieho internetového klubu po tom, čo už došlo k infekcii.

Keď zapnete infikovaný počítač, musíte pre vstup podržať kláves BIOS počítača. Zvyčajne je to tlačidlo DELETE alebo F2 a v spodnej časti obrazovky sa zobrazí výzva. Ďalej musíte vložiť záchranný disk Kaspersky alebo predtým pripravenú zavádzaciu jednotku Flash. V Možnosti spustenia (nastavenia možností spustenia) vyberte jednotku CD/DVD alebo jednotku Flash ako prvé zavádzacie zariadenie. Ďalším krokom je uloženie zmien pomocou klávesu F10 a ukončenie systému BIOS.

Väčšina moderné verzie BIOS ponúka na výber zavádzacie zariadenie počas procesu zavádzania bez zadávania hlavných nastavení. Musíte stlačiť F11, F12 alebo kombináciu klávesov uvedenú na obrazovke. Po reštarte sa spustí Kaspersky Rescue Disk.

Skoré boje

Samostatnou podtriedou sú trójske vírusy, ktorý zasiahol hlavné bootovací vstup počítačový disk (MBR). Môžu sa objaviť na obrazovke ešte pred načítaním operačného systému a nemusia byť v sekciách spúšťania.

Počiatočné štádiá boja proti takýmto vírusom sú Obnova MBR predtým počiatočný stav. V prípade XP musíte zaviesť systém z inštalácie Disk Windows, stlačte kláves R a zavolajte konzolu na obnovenie, kde musíte napísať príkaz fixmbr. Ďalej to potvrdíme stlačením Y a spustením reštartu. Windows 7 používa BOOTREC.EXE ako takýto nástroj, a preto bude syntax príkazu nasledovná:

Bootrec.exe/FixMbr

Po týchto manipuláciách sa systém znova spustí. Môžete začať ďalej hľadať fyzické kópie trójskeho koňa.

Vírus vyberieme pomocou krížového skrutkovača

Boj proti vírusom typu trójskych koní môže byť dlhý a zdĺhavý, ak máte prenosný počítač alebo počítač s nízkou spotrebou, pretože pri sťahovaní z iných zariadení dochádza k ťažkostiam a skenovanie si vyžaduje čas. Najjednoduchším riešením je jednoducho odstrániť pevný disk s infikovaným systémom a fyzicky ho pripojiť k inému počítaču. Môžete použiť špeciálne vybavené boxy rozhranie eSATA alebo USB 3.0/2.0.

Aby ste sa vyhli šíreniu vírusov, musíte najskôr vypnúť možnosť automatického spustenia z HDD na „liečiacom“ počítači. Najjednoduchší spôsob, ako to urobiť, je pomocou nástroja AVZ, ktorý je mimochodom bezplatný a je lepšie vykonať skutočnú kontrolu niečím iným. Otvorte ponuku „Súbor“, vyberte „Sprievodcovia riešením problémov“. Poznamenávame „ Systémové problémy“, „Všetko“ a kliknite na „Štart“. Potom musíte zaškrtnúť možnosť „Automaticky spustiť z HDD“ a kliknúť na „Opraviť zaznamenané problémy“.

Zakázať automatické spustenie

Pred pripojením infikovaného pevného disku sa tiež musíte uistiť, že antivírus na počítači už beží v režime monitora a že existujú čerstvé (aktualizované) antivírusové databázy.

V budúcnosti, aby sa zabránilo reinfekcia mali by ste si nainštalovať antivírus (akýkoľvek) s podporou sledovania systému v reálnom čase a tiež vykonať všeobecné pravidlá bezpečnosť:

  • pracovať priamo zadaním účtučo znamená obmedzené práva;
  • použiť alternatívu WEB prehliadače- veľa infekcií sa vyskytuje cez bezpečnostné diery;
  • zakázať skripty Java pre neznáme stránky;
  • zakázať automatické spustenie pre vymeniteľné médiá;
  • inštalovať programy a aktualizácie iba pomocou oficiálnych stránok vývojárov;
  • snažte sa vždy venovať pozornosť ceste navrhovaného odkazu;
  • blokovať nechcené okná, ktoré sa objavia;
  • okamžite nainštalovať aktualizácie pre prehliadače, systém a všeobecné komponenty.

Ak vás táto téma zaujala, navštívte projekt GreenFlash. Nájdete tam rôzne užitočné a zaujímavé riešenia, ako aj odporúčania na tvorbu spustiť Flash riadiť.

Nesmieme však zabúdať, že šírenie vírusov Winlock Trojan zasiahlo nielen Rusko a susedné krajiny. Ich modifikácie sú známe s lokalizáciou takmer do všetkých jazykov sveta.

Ak pri načítavaní operačného systému namiesto bežnej pracovnej plochy uvidíte toto resp podobná správa a to aj s hrozbami zničenia dát, poškodenia počítača, zatknutia, exekúcie a pod. v prípade nezaplatenia v krátkom čase, pričom táto správa nie je možné žiadnym spôsobom odstrániť alebo minimalizovať (nie sú možné žiadne iné akcie ako zadanie odblokovacieho kódu), prosím, vezmite na vedomie: Stali ste sa obeťou ransomvérových podvodníkov, ale NIKDY by ste im nemali platiť. Tým len sponzorujete ďalší vývoj malvéru, navyše to, že niekam pošlete peniaze, neznamená, že vám pošlú šetriaci kód, a ak aj áno, nie je pravda, že sa situácia nebude opakovať týždeň. V tomto článku na príklade jednej podobnej situácie popíšem, ako zabrániť takejto infekcii a vyliečiť váš počítač, ak k nej dôjde.

IN daný čas Takáto infekcia sa dá nájsť pomerne zriedka, ale ľudia ju stále niekde dokážu nájsť a potom si musia spomenúť na svoju minulú skúsenosť a vziať na seba úlohu zlikvidovať túto pohromu. Pred dvoma rokmi bola situácia s vírusmi Winlocker jednoducho katastrofálna: takmer každý bol infikovaný opakovane. Vynaliezavosť autorov vírusov bola úžasná: boli prípady, keď sa situácia vyriešila kompletnú reinštaláciu systémov. Po minuloročnom zatknutí gangu takýchto „programátorov“ v Moskve sa situácia dramaticky zlepšila. Bol som ohromený sumou, ktorú zarobili za šesť mesiacov: miliardy (!!!) rubľov.

Teraz opíšem dnešnú príhodu

Symptómy: vírusové okno je nad všetkými ostatnými, Správca úloh je zablokovaný, štandardná sada vyhrážky. Medzi novinkami treba poznamenať, že autori takýchto vírusov už neponúkajú posielanie peňazí cez SMS. Namiesto toho musíte doplniť ich peňaženku WebMoney (v tomto prípade je takmer nemožné sledovať autora vírusu) a sumy sa zvýšili: ak si predtým vydierači pýtali 30 hrivien, teraz je to 100 (a trestnej zodpovednosti na Ukrajine začína od 60 hrivien). Smial som sa nad úplne úbohým vykonaním vírusu: nemohli ho ani implementovať režim celej obrazovky(zrejme rozlíšenie obrazovky 1200×800 je v nepravdepodobnej kategórii))) takže prekonať to nebolo ťažké (ak im však obete začnú prevádzať peniaze, kúpia si veľa šikovných kníh o programovaní a nabudúce napíšu niečo elegantnejšie!) , partia gramatické chyby(“...hlási blokovanie...”))).

Mechanizmus infekcie, ako vírus funguje a ako ho odstrániť

Pri spustení je súbor „superclubber.bat“ s textom:

@echo vypnuté
Titulný superklub
spustiť superclubber.exe

Detekcia troyan winlock pomocou nástroja Sysinternals Autoruns pri spustení systému Windows

to znamená, že spustí súbor „superclubber.exe“, čo je skutočný vírus. V súlade s tým celý postup liečby spočíva v odstránení tejto položky registra a dvoch súborov ( bohužiaľ také jednoduché vírusy sú veľmi zriedkavé, zvyčajne sa musíte veľmi silno potiť, aby ste sa ich zbavili). Analýza tento súbor na webovej stránke virustotal.com ukázal, že bol in tento moment detekovať iba 14 antivírusov zo 43. ( nízke percento (!)). Avira (TR/Crypt.CFI.Gen), Avast (Win32:Rootkit-gen), AVG (Generic23.AMUX), DrWeb (Trojan.Winlock.3724), Kaspersky (Trojan-Ransom.Win32.Blocker.apz), NOD32 (variant trójskeho koňa Win32/LockScreen.AHP) patrili medzi tie, ktoré odhalili. Z tých, ktorí ho ešte majú nedefinuje, a podľa toho preskočia Treba poznamenať Antivírusy od spoločnosti Microsoft, Panda, Symantec, McAfee, GData.

Po reštarte sa okno už nezobrazí, čo znamená, že vírus už nie je aktívny.

Príčina infekcie tohto počítača ukázalo sa, že posledný dátum aktualizácie Antivírus Avast bol 13. júna (teda nebol viac ako mesiac aktualizovaný) a on ešte nepoznal stav tohto vírusu k tomuto dátumu, a preto ho zmeškal.

Spôsob infekcie:ďalšia analýza ukázala, že osoba strávila celý čas pred infekciou na rôznych porno stránkach (viac ako 100 za sebou). Niektoré z týchto stránok obsahovali škodlivý kód(java exploit), ktorý spôsobil infekciu.

Zobraziť históriu Prehliadač Opera ukázal, že v deň infekcie používateľ navštívil veľké množstvo porno stránky

Záverečné upratovanie

Aktualizujeme antivírus a vykonáme úplnú kontrolu systému:

Vo výsledkoch kontroly zistíme súbory, cez ktoré došlo k infekcii

Vo výsledkoch kontroly nájdeme súbory, cez ktoré došlo k infekcii. IN v tomto prípade stalo sa to úplne bez povšimnutia používateľa a nevyžadovalo si od neho žiadnu akciu. Dovoľte mi ešte raz poznamenať: ak by sa používateľ obťažoval udržiavať antivírus aktuálny, k tejto infekcii by nedošlo!

Robíme to isté Program Malwarebytes Anti-malware:

Súvisiace publikácie