Zeker, elke vierde gebruiker van een personal computer is verschillende frauduleuze activiteiten op internet tegengekomen. Een van de soorten misleiding is een banner die Windows blokkeert en vereist dat je sms naar een betaald nummer stuurt of cryptovaluta vereist. In feite is het gewoon een virus.
Om een ransomware-banner te bestrijden, moet u weten wat het is en hoe het op uw computer terechtkomt. Meestal ziet een banner er als volgt uit:
Maar er kunnen allerlei andere variaties zijn, maar de essentie is hetzelfde: de boeven willen geld aan je verdienen.
Manieren om het virus in de computer te krijgen
De eerste variant van "infectie" zijn illegale toepassingen, hulpprogramma's, games. Natuurlijk zijn internetgebruikers gewend om het meeste van wat ze willen "gratis" op het netwerk te krijgen, maar bij het downloaden van illegale software, games, verschillende activatoren en andere dingen van verdachte sites, lopen we het risico virussen op te lopen. In deze situatie helpt het meestal.
Windows kan worden geblokkeerd vanwege een gedownload bestand met de extensie " .exe". Dit betekent niet dat u moet weigeren om bestanden met deze extensie te downloaden. Onthoud dat maar " .exe"Kan alleen van toepassing zijn op games en programma's. Als u een video, nummer, document of afbeelding downloadt en de naam ervan bevat ".exe" aan het einde, dan neemt de kans dat de ransomware-banner verschijnt sterk toe tot 99,999%!
Er is ook een lastige zet met naar verluidt de noodzaak om de Flash-speler of browser bij te werken. Het kan zijn dat u op internet gaat werken, van pagina naar pagina gaat en op een dag zult u de inscriptie vinden dat "uw Flash-speler verouderd is, update alstublieft." Als u op deze banner klikt en u wordt niet naar de officiële website adobe.com geleid, dan is het 100% virus. Controleer daarom voordat u op de knop "Update" klikt. De beste optie zou zijn om dergelijke berichten helemaal te negeren.
Last but not least verzwakken verouderde Windows-updates de bescherming van het systeem. Probeer updates op tijd te installeren om uw computer te beschermen. Deze functie kan worden geconfigureerd in Configuratieschermen -> Windows Update automatisch naar de automatische modus om niet afgeleid te worden.
Hoe Windows 7/8/10 te ontgrendelen
Een van de eenvoudigste opties om de ransomware-banner te verwijderen is. Het helpt 100%, maar het is logisch om Windows opnieuw te installeren als u geen belangrijke gegevens op de "C"-schijf hebt die u niet kon opslaan. Wanneer u het systeem opnieuw installeert, worden alle bestanden van de systeemschijf verwijderd. Daarom, als u geen zin heeft om software en games opnieuw te installeren, kunt u andere methoden gebruiken.
Na de desinfectie en succesvolle lancering van het systeem zonder de ransomware-banner, moet u aanvullende stappen ondernemen, anders kan het virus opnieuw opduiken of zullen er gewoon wat problemen zijn in de werking van het systeem. Dit alles staat aan het einde van het artikel. Alle informatie wordt door mij persoonlijk geverifieerd! Laten we beginnen!
Kaspersky Rescue Disk + WindowsUnlocker zal ons helpen!
We zullen een speciaal ontworpen besturingssysteem gebruiken. De hele moeilijkheid is dat je op een werkende computer een afbeelding moet downloaden en of (door de artikelen scrollen, dat is er).
Als het klaar is, heb je het nodig. Op het moment van opstarten verschijnt een klein bericht, zoals "Druk op een willekeurige toets om op te starten vanaf cd of dvd". Hier moet u op een willekeurige knop op het toetsenbord drukken, anders start het geïnfecteerde Windows.
Druk tijdens het laden op een willekeurige knop en selecteer vervolgens de taal - "Russisch", accepteer de licentieovereenkomst met de knop "1" en gebruik de startmodus - "Grafisch". Let na het starten van het besturingssysteem van Kaspersky niet op de automatisch gestarte scanner, maar ga naar het menu "Start" en start "Terminal"
Er wordt een zwart venster geopend waarin we de opdracht schrijven:
windowsunlocker
Er wordt een klein menu geopend:
Selecteer "Deblokkeer Windows" met de "1"-knop. Het programma zal alles zelf controleren en repareren. Nu kunt u het venster sluiten en, met de reeds draaiende scanner, de hele computer controleren. Zet in het venster een vinkje op de schijf met Windows OS en klik op "Objectscan uitvoeren"
We wachten op het einde van de controle (misschien een lange tijd) en ten slotte starten we opnieuw op.
Als je een laptop zonder muis hebt en het touchpad werkt niet, dan raad ik aan om de tekstmodus van de Kaspersky-schijf te gebruiken. In dit geval moet u na het starten van het besturingssysteem eerst het menu sluiten dat wordt geopend met de "F10"-knop en vervolgens dezelfde opdracht op de opdrachtregel invoeren: windowsunlocker
Ontgrendel in veilige modus, geen speciale afbeeldingen
Tegenwoordig zijn virussen zoals Winlocker wijzer geworden en blokkeren ze het opstarten van Windows in de veilige modus, dus hoogstwaarschijnlijk zal het je niet lukken, maar als er geen afbeelding is, probeer het dan. Virussen zijn verschillend en verschillende methoden kunnen voor iedereen werken, maar het principe is hetzelfde.
Wij herstarten de computer. Druk tijdens het opstarten op F8 totdat het menu Geavanceerde opstartopties van Windows verschijnt. We moeten de "omlaag"-pijlen gebruiken om uit de lijst een item te selecteren met de naam "Veilige modus met opdrachtregelondersteuning".
Hier moeten we heen en de gewenste regel selecteren:
Verder, als alles goed gaat, zal de computer opstarten en zullen we het bureaublad zien. Prima! Maar dit betekent niet dat alles nu werkt. Als je het virus niet verwijdert en gewoon opnieuw opstart in de normale modus, zal de banner weer verschijnen!
We worden behandeld met Windows-tools
Het is noodzakelijk om het systeem te herstellen toen er nog geen blocker banner was. Lees het artikel aandachtig en doe alles wat daar staat geschreven. Onder het artikel staat een filmpje.
Als het niet helpt, druk dan op de "Win + R"-knoppen en schrijf de opdracht in het venster om de register-editor te openen:
regedit
Als in plaats van het bureaublad een zwarte opdrachtregel wordt gestart, voert u eenvoudig de opdracht "regedit" in en drukt u op "Enter". We moeten enkele registersleutels controleren op virusprogramma's, of om preciezer te zijn, op schadelijke code. Volg dit pad om deze bewerking te starten:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WinNT \ CurrentVersion \ Winlogon
Nu controleren we in volgorde de volgende waarden:
- Shell - "explorer.exe" moet hier worden geschreven, er mogen geen andere opties zijn
- Userinit - hier moet de tekst "C: \ Windows \ system32 \ userinit.exe" zijn
Als het besturingssysteem op een andere schijf dan C : is geïnstalleerd, zal de letter daar dienovereenkomstig anders zijn. Om de verkeerde waarden te wijzigen, klikt u met de rechtermuisknop op de regel die u wilt bewerken en selecteert u "wijzigen":
Dan controleren wij:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Er zouden hier helemaal geen Shell- en Userinit-sleutels moeten zijn, als die er zijn, verwijderen we ze.
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Uitvoeren
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
En zeker weten:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Uitvoeren
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
Als u niet zeker weet of het nodig is om de sleutel te verwijderen, kunt u eerst een "1" aan de parameter toevoegen. Het pad zal mislukken en dit programma wil gewoon niet starten. Dan is het mogelijk om het terug te sturen zoals het was.
Nu moet je het ingebouwde hulpprogramma voor het opschonen van het systeem uitvoeren, we doen het op dezelfde manier als we de register-editor "regedit" hebben gestart, maar schrijf:
schoonmgr
We selecteren de schijf met het besturingssysteem (standaard C :) en na het scannen markeren we alle selectievakjes, behalve "Bestanden van de back-upkopie van het servicepack"
En klik op "OK". Door deze actie hebben we mogelijk de autostart van het virus uitgeschakeld, en dan moeten we de sporen van zijn aanwezigheid in het systeem opruimen en hierover lezen aan het einde van het artikel.
AVZ-hulpprogramma
Het ligt in het feit dat we in de veilige modus het bekende antivirusprogramma AVZ zullen gebruiken. Naast het scannen op virussen, heeft het programma gewoon heel veel functies voor het corrigeren van systeemproblemen. Deze methode herhaalt de stappen om gaten in het systeem te dichten nadat het virus zich heeft verspreid, incl. ga naar het volgende item om er kennis mee te maken.
Problemen oplossen na het verwijderen van ransomware
Gefeliciteerd! Als u dit leest, is het systeem gestart zonder banner. Nu moet je het hele systeem met hen controleren. Als u de Kaspersky-reddingsschijf hebt gebruikt en deze daar hebt gecontroleerd, kunt u dit item overslaan.
Er kan ook een andere overlast zijn die verband houdt met de activiteiten van de schurk - een virus kan uw bestanden versleutelen. En zelfs nadat u het volledig hebt verwijderd, kunt u uw bestanden gewoon niet meer gebruiken. Om ze te decoderen, moet u programma's van de Kaspersky-website gebruiken: XoristDecryptor en RectorDecryptor. Er is ook een gebruiksaanwijzing.
Maar dat is niet alles, want de winlocker heeft hoogstwaarschijnlijk met het systeem geknoeid en verschillende storingen en problemen zullen worden waargenomen. Register-editor en Taakbeheer starten bijvoorbeeld niet. Om het systeem te behandelen, gebruiken we het programma AVZ.
Bij het downloaden met Google Chrome kan er een probleem zijn, omdat: deze browser beschouwt het programma als kwaadaardig en laat je het niet downloaden! Dit probleem is al aan de orde gesteld op het officiële Google-forum, en op het moment van schrijven, alles al goed.
Om toch het archief met het programma te downloaden, moet je naar "Downloads" gaan en daar op "Medium downloaden" klikken. Ja, ik begrijp dat het er een beetje dom uitziet, maar blijkbaar denkt Chrome dat het programma een gewone gebruiker kan schaden. En het is waar als je daar prikt waar je ook raakt! Daarom volgen wij strikt de instructies op!
We pakken het archief met het programma uit, schrijven het naar externe media en voeren het uit op de geïnfecteerde computer. Ga naar het menu "Bestand -> Systeemherstel", markeer de selectievakjes zoals in de afbeelding en voer de volgende bewerkingen uit:
Nu gaan we langs de volgende weg: "Bestand -> Wizard Problemen oplossen", ga dan naar "Systeemproblemen -> Alle problemen" en klik op de knop "Start". Het programma scant het systeem en schakelt vervolgens in het venster dat verschijnt alle selectievakjes in, behalve "Updates van het besturingssysteem uitschakelen in automatische modus" en de selectievakjes die beginnen met de zin "Autorun toegestaan vanaf ...".
We klikken op de knop "De geconstateerde problemen oplossen". Ga na succesvolle afronding naar: "Browserinstellingen en tweaks -> Alle problemen", hier plaatsen we alle selectievakjes en klikken op dezelfde manier op de knop "De gemarkeerde problemen oplossen".
We doen hetzelfde met "Privacy", maar vink hier niet de vakjes aan die verantwoordelijk zijn voor het opschonen van bladwijzers in browsers en wat u nog meer denkt nodig te hebben. We voltooien het controleren in de secties "Het systeem opschonen" en "Adware / Toolbar / Browser Hijacker Removal".
Sluit ten slotte het venster zonder AVZ te verlaten. In het programma vinden we "Extra -> Verkenner-extensie-editor" en deselecteer de vakjes die in het zwart zijn gemarkeerd. Ga nu naar: "Extra -> Internet Explorer Extensiebeheer" en wis alle regels in het venster dat verschijnt volledig.
Hierboven heb ik al gezegd dat dit gedeelte van het artikel ook een van de manieren is om Windows te behandelen vanaf de ransomware-banner. In dit geval moet u het programma dus downloaden op een werkende computer en het vervolgens naar een USB-flashstation of -schijf schrijven. Wij voeren alle handelingen in een veilige modus uit. Maar er is nog een andere optie om AVZ uit te voeren, zelfs als de veilige modus niet werkt. U moet vanuit hetzelfde menu starten wanneer het systeem opstart, in de modus "Problemen met computer oplossen"
Als je het hebt geïnstalleerd, wordt het helemaal bovenaan het menu weergegeven. Als het er niet is, probeer dan Windows te starten totdat de banner verschijnt en zet de computer uit het stopcontact. Schakel het vervolgens in - er kan een nieuwe startmodus worden aangeboden.
Uitvoeren vanaf de Windows-installatieschijf
Een andere trefzekere manier is om op te starten vanaf een Windows 7-10 installatieschijf en daar niet "Installatie" te selecteren, maar "Systeemherstel"... Wanneer de probleemoplosser actief is:
- Je moet daar "Opdrachtregel" selecteren
- Schrijf in het verschenen zwarte venster: "notepad", d.w.z. start een gewoon kladblok. We gebruiken het als een minigids.
- Ga naar het menu "Bestand -> Open", selecteer het bestandstype "Alle bestanden"
- Vervolgens zoeken we de map met het AVZ-programma, klik met de rechtermuisknop op het uitvoerbare bestand "avz.exe" en start het hulpprogramma met behulp van het menu-item "Openen" (niet het item "Selecteren"!).
Als al het andere faalt
Verwijst naar gevallen waarin u om de een of andere reden niet kunt opstarten vanaf een USB-flashstation met een opgenomen afbeelding van Kaspersky of het AVZ-programma. Je hoeft alleen maar de harde schijf uit de computer te halen en deze met de tweede schijf op de werkende computer aan te sluiten. Start vervolgens op vanaf een NIET-GENFECTEERDE harde schijf en scan UW schijf met een Kaspersky-scanner.
Stuur nooit sms-berichten op verzoek van oplichters. Wat de tekst ook is, stuur geen berichten! Probeer verdachte sites en bestanden te vermijden en lees ze in het algemeen. Volg de instructies en dan is je computer veilig. En vergeet antivirus en regelmatige updates van het besturingssysteem niet!
Hier is een video waar alles te zien is met een voorbeeld. De playlist bestaat uit drie lessen:
PS: welke manier heeft je geholpen? Schrijf erover in de reacties hieronder.
Een bootloader (Hboot) is een programma dat de kernel van het besturingssysteem van je apparaat bestuurt, zodat het opstart in de normale modus. En dat geldt niet alleen voor Android, maar ook voor andere apparaten met een OS, zoals een pc, laptop en zelfs een oude drukknoptelefoon. Bovendien is het de bootloader die toestemming geeft om eventuele programma's en firmware te installeren. Om deze reden zijn gebruikers geïnteresseerd in het in de fabriek ontgrendelen van de bootloader op een Android-telefoon.
Hboot wordt geactiveerd wanneer het apparaat wordt ingeschakeld en is analoog aan Bios in een computer. Het bereidt alle gegevens voor op de kernel, laadt het in het geheugen, waarna het systeem direct opstart. Als de integriteit ervan wordt geschonden of iets interfereert, kun je dankzij de bootloader in de herstelmodus gaan om de gegevens te wissen of terug te zetten naar de fabrieksinstellingen. Om dit te doen, houdt u, voordat u het apparaat inschakelt, de aan / uit- en volume-omlaagtoetsen ingedrukt en laat u ze pas los op het moment van laden (in sommige gevallen kan de combinatie van knoppen verschillen).
Waarom is de bootloader geblokkeerd?
Fabrikanten implementeren blokkering om twee redenen:
1. Om de eigenaar te verplichten het besturingssysteem te gebruiken dat voor zijn apparaat is ontwikkeld.
2. Zorgen voor veiligheid. Veel smartphones en tablets worden online of in de detailhandel verkocht. In beide gevallen kan de verkoper of wederverkoper, naar eigen goeddunken, software van reclame- of kwaadwillende aard toevoegen, wat niet zou mogen. Om dezelfde reden begon Xiaomi de bootloader te blokkeren van apparaten die na 2016 zijn uitgebracht, vanwege talloze klachten over de aanwezigheid van virussen in hun firmware (die er oorspronkelijk niet waren).
Voordelen van een ontgrendelde bootloader
Een ontgrendelde bootloader opent precies dezelfde mogelijkheden voor de gebruiker als op een pc, namelijk:
- Flash elk besturingssysteem (beschikbaar voor uw apparaat).
- Installatie van individuele modules, OS-kernels, applicaties, patches.
- Vrij migreren tussen standaardfirmwares, vooral als ze zijn gebaseerd op verschillende versies van Android.
- Maak eenvoudig back-ups van het huidige besturingssysteem en/of applicaties, en herstel deze ook zonder een pc te gebruiken.
- Gebruik Dual-Boot en installeer twee of meer besturingssystemen, zowel in het interne geheugen als op een externe SD-kaart.
- De kans op herstel is groter in het geval van mislukte firmware.
En dit is niet de hele lijst met mogelijkheden na het ontgrendelen van een Android in de fabriek.
Hoe te ontgrendelen
Elk apparaat heeft zijn eigen versie van de bootloader, wat betekent dat de ontgrendelingsmethode zal verschillen afhankelijk van het model en de fabrikant. Bij het indienen van een aanvraag kan het bedrijf zelf de vergrendeling verwijderen (vooral als je een Android-ontwikkelaar bent), maar meestal gebeurt dit door eerder gevonden kwetsbaarheden in het systeem te hacken.
Risico's en gevolgen
Ongeautoriseerde ontgrendeling van de bootloader maakt uw garantieservice ongeldig. Bovendien wordt uw apparaat minder veilig en minder kwetsbaar voor aanvallen van hackers. Met een open bootloader kun je ingestelde wachtwoorden omzeilen, toegang krijgen tot persoonlijke informatie of alles wissen en een andere firmware installeren.
Gevolgtrekking
Maak je niet al te veel zorgen over problemen met de bootloader, vooral als het gaat om persoonlijke informatie. Op gevonden of gestolen apparaten worden gegevens meestal gewist en zelden zal iemand iets herstellen. Een open bootloader is meer nodig voor gevorderde gebruikers die er verstand van hebben, regelmatig iets flashen en experimenteren.
Laat uw vragen achter in de opmerkingen bij het onderstaande artikel - we zullen proberen te beantwoorden.
Was het artikel nuttig voor u?
Beoordeel het - steun het project!
Als u dit artikel leest, heeft uw computer waarschijnlijk een virusaanval ondergaan en is deze geblokkeerd, en om deze te deblokkeren, moet u een bepaald bedrag naar een bepaald telefoonnummer sturen.
Hiervoor heeft Kaspersky Lab het hulpprogramma Kaspersky WindowsUnlocker ontwikkeld waarmee u uw computer kunt ontgrendelen, het Trojan.Winlock-virus kunt verwijderen en uw harde schijf kunt scannen op malware.
Om de computer te ontgrendelen hebben we nodig:
A. De tweede computer, omdat je kunt dit programma niet downloaden op een vergrendelde computer
B. USB-stick met een volume van minimaal 256 MB (met het FAT32-bestandssysteem, als het NTFS-bestandssysteem op de USB-stick is geïnstalleerd, moet deze worden geformatteerd in FAT32)
Met. Schijfkopie ontgrendelen (download van Kaspersky-server)
D. Kaspersky USB Rescue Disk Maker-programma voor het schrijven van een schijfkopie naar een USB-flashstation (download van de Kaspersky-server)
Dus laten we beginnen...
We gaan ervan uit dat we de tweede computer en de USB-stick hebben gevonden, nu downloaden we het programma en de afbeelding gespecificeerd in de punten c en d en gaan we direct naar de installatie.
1. Plaats de USB-flashdrive en start het programma voor het opnemen van de afbeelding gespecificeerd in paragraaf d ( hulpprogramma rescue2usb.exe).
2. Selecteer in het venster Kaspersky USB Rescue Disk Maker de afbeelding die u in stap c hebt gedownload.
5. Selecteer in de BIOS-parameters het tabblad Bagageruimte en selecteer als eerste item opstartschijf of een andere flashdrive " Verwijderbare apparaten"(dit is nodig zodat het besturingssysteem niet van de harde schijf van de computer wordt geladen, maar van de flashdrive).
6. We herstarten de computer en na het laden van het besturingssysteem vanaf de flashdrive zien we:
8. We lezen de licentieovereenkomst en klikken op " 1 ".
9. Selecteer nu het item " Kaspersky reddingsschijf. Grafische modus"
10. Nadat het besturingssysteem in grafische modus is opgestart, selecteert u de " NAAR", die zich in de linkerbenedenhoek bevindt en klik op het item" Terminal". Schrijf in de terminal #Windowsunlocker.
13. Druk op 0 (" 0-Afsluiten")
14. Na het opschonen van het register, moet je de restanten van de ransomware blocker van je pc verwijderen. Om dit te doen, is het noodzakelijk om een computerscan uit te voeren met Kaspersky Rescue Disk ( er is een snelkoppeling naar het programma op het bureaublad).
15. Na een zeer lange controle herstarten we de computer en kijken of de computer ontgrendeld is.
Net als vandaag proberen mensen gewoon geen geld te verdienen, en zelfs meer, vergeten ze die mens die de Heer in ons heeft gestopt. Het is gewoon verrassend hoeveel mensen verliezen door anderen te bedriegen en te beroven. De Wet van onze wereld, die zegt: "Wat een mens zaait, zal hij oogsten" is immers nog niet opgeheven. En na een tijdje rijzen de vragen: "Voor wat?".
In dit artikel, beste lezers, zal ik je vertellen over een van de frauduleuze acties die gericht zijn op het beroven van je zakken - wanneer een computer wordt aangevallen door een virus dat is vrijgegeven door "slimme" mensen en dat Windows OS blokkeert, en het maakt niet uit welke versie van uw besturingssysteem is XP, 7, 8, 10 of andere. Je weet toch zeker wat ik bedoel, nietwaar, ik denk tenminste dat velen van jullie met zo'n overlast te maken hebben gehad? Ja ja ik zeg over ransomware-banner, dat onmiddellijk na het inschakelen van de computer verschijnt en Windows blokkeert. Deze banner kan zeggen dat je een verboden video hebt bekeken en dat je nu dringend geld naar iemand moet sturen, bijvoorbeeld via Webmoney, en een sms moet ontvangen met de ontgrendelingscode van het besturingssysteem.
Probeer niet eens iets aan iemand te betalen, tk. er wordt geen sms met de ontgrendelcode naar u verzonden. Laat de Heer deze indringers beter begrijpen, en in de tussentijd zal ik proberen u te helpen uw computer te ontgrendelen.
Hoe komt banner-ransomware op uw computer?
1. Het Banner ransomware-virus kan op uw computer terechtkomen, samen met gratis programma's of games die zijn gedownload van dubieuze bronnen.
2. Als u foto's, muziek, video's enz. van internet downloadt en deze bestanden de extensie.exe (bestandsnaam.exe) hebben, in plaats van de overeenkomstige .jpg, .mp3, .avi, .mkv (bestandsnaam .jpg ).
3. Als je op sommige sites een banner ziet die zegt dat je iets moet updaten of opnieuw moet installeren, en door erop te klikken ga je niet naar de officiële sites van je programma's, maar naar hun klonen.
4. Als er geen antivirusprogramma op de computer / laptop is geïnstalleerd, kan het virus eenvoudig de computer binnendringen vanaf de pagina's van verschillende sites.
Deblokkeer Windows, d.w.z. U kunt de ransomware-banner, waardoor de computer is vergrendeld, op de volgende manieren verwijderen:
1. Installeer Windows opnieuw.
2. Ruim het Windows-register op, d.w.z. verwijder de banner van het opstarten van het systeem.
3. Een opstartdiskette met speciale antivirussoftware (programma's) gebruiken om virussen van het systeem te verwijderen.
In de post van vandaag zullen we het hebben over de tweede methode - verwijder de ransomware-banner van het opstarten van het besturingssysteem.
Methode nummer 1: Windows ontgrendelen door het systeemregister op te schonen
Hoe ingewikkeld het ook klinkt, het is eigenlijk heel eenvoudig. Volg gewoon de onderstaande instructies en wees voorzichtig.
1. We gaan naar de veilige modus van Windows. Om dit te doen, drukt u na het inschakelen van de pc tijdens het laden van het besturingssysteem op de toets "F8"... Er zou een zwart scherm moeten verschijnen waar u uw systeemopstartopties kunt selecteren. Kiezen "Veilige modus".
2. Wanneer Windows opstart, drukt u op de sneltoets "Winnen + R"... Of "Begin te lopen".
3. Typ in het venster dat verschijnt: regedit
Belangrijk! Als de ransomware-banner ook in "Veilige modus" verschijnt, start u uw pc opnieuw op en selecteert u via "F8" "Veilige modus met opdrachtprompt" in het menu. Wanneer de pc opstart en een zwart scherm met een knipperende cursor verschijnt, typt u ook "regedit" en drukt u op "Enter". Hetzelfde registervenster verschijnt.
4. Ga naar het adres: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WinNT \ CurrentVersion \ Winlogon en controleer of de volgende waarden de volgende instellingen hebben:
Schelp- integendeel, er zou alleen "explorer.exe" moeten zijn.
Userinit- het tegenovergestelde mag alleen "C: \ Windows \ system32 \ userinit.exe" zijn. Als Windows niet is geïnstalleerd op de C:-schijf, dan is de letter hier anders.
Als de waarden anders zijn, repareer deze dan zodat het wordt zoals ik hierboven schreef. Klik hiervoor met de rechtermuisknop op de regel waarin u de waarde wilt wijzigen en selecteer "Wijzigen".
5. Ga naar het adres: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon. Zorg ervoor dat er hier geen "Shell" en "Userinit" items zijn. Zo ja, verwijder ze.
6. We controleren de volgende adressen op verdachte gegevens, zoals: fgkthsinlr.exe verwijderd worden:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Uitvoeren
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Uitvoeren
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
Als u niet zeker weet of de gevonden vermelding een virus is, klik er dan met de rechtermuisknop op en selecteer "Wijzigen". Stel de waarde in op "1". Op deze manier schakel je deze opname uit en als er iets misgaat, kun je het repareren.
7. Start uw computer opnieuw op en verheug u! Windows zou al ontgrendeld moeten zijn.
Methode nummer 2: Windows deblokkeren met hulpprogramma's (antivirussoftware) 
Als het voor u moeilijk was om erachter te komen hoe u uw computer kunt ontgrendelen door het Windows-systeemregister op te schonen, dan kunt u proberen speciale antivirusprogramma's (programma's) te gebruiken waarmee u dit in slechts een paar klikken kunt doen.
Windows-ontgrendelsoftware
— AntiWinLocker LiveCD http://www.antiwinlocker.ru/download.html
— Kaspersky Rescue Disk: U kunt deze link downloaden: http://sms.kaspersky.com/
— Dr.Web LiveDisk http://www.freedrweb.com/livedisk/
- nutsvoorziening AVZ... U kunt deze link downloaden: http://www.z-oleg.com/secur/avz/download.php
Kort gezegd komt de procedure voor het ontgrendelen van een computer met hulpprogramma's neer op het schrijven van hun afbeeldingen naar een flashstation (USB-station), het opstarten van de computer vanaf USB inschakelen en in de pop-upvensters klikt u gewoon op "Start", "Anti SMS" , "Wissen", enz. ...
Ik zal later meer over deze programma's schrijven, maar dat is alles voor vandaag. Als er iets niet is gelukt, schrijf dan in de reacties, dan proberen we er samen uit te komen.
Bestrijding van Trojaanse paarden van de WinLock- en MbrLock-families
(Windows-blokkers)
Relevantie van het probleem
Trojaanse paarden die de werking van Windows blokkeren, zijn sinds september 2009 een van de meest voorkomende qua frequentie. In december 2010 waren bijvoorbeeld meer dan 40% van de gedetecteerde virussen Windows-blokkers. De algemene naam voor dergelijke kwaadaardige programma's is Trojan.Winlock.XXX, waarbij XXX een nummer is dat is toegewezen aan een handtekening waarmee verschillende (vaak honderden) vergelijkbare virussen kunnen worden geïdentificeerd. Dergelijke programma's kunnen ook van het type Trojan.Inject of Trojan.Siggen zijn, maar dit gebeurt veel minder vaak.
Uiterlijk kan de Trojan van twee hoofdtypen zijn. Ten eerste: een schermvullend splash-scherm, waardoor het bureaublad niet zichtbaar is, ten tweede: een klein venster in het midden. De tweede optie bedekt het scherm niet volledig, maar de banner maakt het nog steeds onmogelijk om nuttig te werken met een pc, omdat deze altijd bovenop andere vensters blijft.
Hier is een klassiek voorbeeld van het uiterlijk van het programma Trojan.Winlock:
Het doel van de trojan is simpel: meer geld voor virusschrijvers krijgen van de slachtoffers van een virusaanval.
Het is onze taak om te leren hoe u snel en verliesloos banners kunt verwijderen zonder cybercriminelen te betalen. Nadat u het probleem heeft opgelost, moet u een verklaring aan de politie schrijven en wetshandhavers alle informatie verstrekken die u weet.
Aandacht! In de teksten van veel blockers staan verschillende bedreigingen (“je hebt nog 2 uur”, “10 pogingen om de code in te voeren”, “als je Windows opnieuw installeert, worden alle gegevens vernietigd”, enz.). Kortom, dit is niets meer dan een bluf.
Algoritme van acties om Trojan.Winlock te bestrijden
Er zijn heel veel modificaties van blockers, maar het aantal bekende exemplaren is erg groot. In dit opzicht kan de behandeling van een geïnfecteerde pc enkele minuten duren in een mild geval en enkele uren als de wijziging nog niet bekend is. Maar in elke situatie moet het volgende algoritme worden gevolgd:
1. Selectie van de ontgrendelcode.
Ontgrendelcodes voor veel Trojaanse paarden zijn al bekend en ingevoerd in een speciale database die is gemaakt door specialisten van Doctor Web. Volg de link om de database te gebruiken:https://www.drweb.com/xperf/unlocker/ en probeer de code op te halen. Instructies voor het werken met de ontgrendelingsbasis: http : // steun. tekenweb. com / toon_ faq? qid = 46452743 & lng = ru
Probeer eerst de ontgrendelcode te krijgen met behulp van het formulier waarmee u de tekst van het bericht en het nummer waarnaar u het wilt verzenden, kunt invoeren. Let op de volgende regels:
Als u geld wilt overboeken naar een rekening of telefoonnummer, in het veld Nummer u moet het account of telefoonnummer opgeven in het veld Tekst je hoeft niets te schrijven.
Als u geld wilt overboeken naar een telefoonnummer, in het veld Nummer u moet het telefoonnummer opgeven in het formaat 8хххххххххх, zelfs als de banner een nummer bevat zonder het cijfer 8.
Als u een bericht naar een kort nummer moet sturen, in het veld Nummer geef het nummer aan,
in het veld Tekst- Bericht tekst.
Als de gegenereerde codes niet pasten - probeer de naam van het virus te berekenen met behulp van de gepresenteerde afbeeldingen. Onder elke afbeelding van de blocker staat de naam ervan. Nadat u de vereiste banner hebt gevonden, onthoudt u de naam van het virus en selecteert u deze uit de lijst met bekende blokkers. Geef de naam op van het virus dat uw pc heeft geïnfecteerd in de vervolgkeuzelijst en kopieer de resulterende code naar de bannerregel.
Houd er rekening mee dat naast de code ook andere informatie kan worden weergegeven:
Win + D om te ontgrendelen - druk op de toetsencombinatie Windows + D opendoen.
elke 7 symbolen - voer 7 willekeurige tekens in.
Gebruik de generator hierboven of gebruik generator hierboven- gebruik het formulier om de ontgrendelcode te krijgen Nummer-tekst aan de rechterkant van het venster.
Gebruik het formulier of Gebruik het formulier a.u.b- gebruik het formulier om de ontgrendelcode te krijgen Nummer-tekst aan de rechterkant van het venster.
Als het je niet is gelukt om iets op te halen
2. Als het systeem gedeeltelijk is geblokkeerd. Deze stap is van toepassing op gevallen waarin de banner in het midden van het scherm "hangt", zonder deze volledig in beslag te nemen. Als de toegang volledig is geblokkeerd, ga dan direct naar stap 3. Taakbeheer wordt op dezelfde manier geblokkeerd als in de volledige schermversies van de Trojan, dat wil zeggen dat het onmogelijk is om het kwaadaardige proces met conventionele middelen te beëindigen.
Gebruik de resterende vrije ruimte op het scherm en doe het volgende:
1) Controleer uw pc met de nieuwste versie van Dr.Web CureIt! http://www.freedrweb.com/cureit/. Als het virus met succes is verwijderd, kan de taak als voltooid worden beschouwd; als er niets is gevonden, gaat u naar stap 4.
2) Download het Dr.Web Trojan.Plastix fix recovery-hulpprogramma van de link http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe en voer het gedownloade bestand uit. Klik in het programmavenster op Doorgaan en wanneer Plastixfix klaar is met werken, start u uw pc opnieuw op.
3) Probeer het Process Explorer-programma te installeren en uit te voeren (u kunt het downloaden van de website)
Microsoft: http://technet.microsoft.com/ru-ru/sysinternals/bb896653). Als de lancering succesvol was -
druk op de knop met het vizierpictogram in het programmavenster en zonder deze los te laten,
beweeg over de banner. Wanneer u de knop loslaat, toont Process Explorer het proces,
die verantwoordelijk is voor de banner.
3. Als er helemaal geen toegang is. Gewoonlijk vervuilen blockers het scherm volledig met een banner, waardoor het onmogelijk is om programma's te starten, inclusief Dr.Web CureIt! In dit geval moet u opstarten vanaf Dr.Web LiveCD of Dr.Web LiveUSB http://www.freedrweb.com/livecd/ en uw pc controleren op virussen. Start na controle uw computer op vanaf uw harde schijf en controleer of het probleem is opgelost. Zo niet, ga naar stap 4.
4. Handmatig zoeken naar een virus. Als je op dit punt komt, dan De trojan die het systeem heeft geïnfecteerd, is een noviteit en u zult er handmatig naar moeten zoeken.
Om de blocker handmatig te verwijderen, moet u toegang krijgen tot het Windows-register door op te starten vanaf externe media.
Meestal wordt een blocker op een van de twee bekende manieren gelanceerd.
Via autoload in de registertakken
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
Door systeembestanden (een of meer) te vervangen die in het filiaal zijn gestart HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
of bijvoorbeeld het bestand taskmgr.exe.
Om te werken hebben we Dr.Web LiveCD / USB nodig (of andere tools om met een extern register te werken).
Om met Dr.Web LiveCD / USB te werken, start u de pc op vanaf een cd of flashstation en kopieert u vervolgens de volgende bestanden naar het flashstation:
C: \ Windows \ System32 \ config \ software* bestand heeft geen extensie *
C: \ Document en instellingen \ Uw_gebruikersnaam \ ntuser.dat
Deze bestanden bevatten het systeemregister van de geïnfecteerde machine. Nadat we ze in het Regedit-programma hebben verwerkt, kunnen we het register opschonen van de gevolgen van virusactiviteit en tegelijkertijd verdachte bestanden vinden.
Breng nu de opgegeven bestanden over naar een werkende Windows-pc en doe het volgende:
Loop Regedit, open de struik HKEY_LOCAL_MACHINE en uitvoeren Bestand -> Hive laden.
Geef in het geopende venster het pad naar het bestand op software, geef de sectie een naam (bijvoorbeeld de datum van vandaag) en klik op OK.
In deze struik moet je de volgende takken controleren:
Microsoft \ Windows NT \ CurrentVersion \ Winlogon:
Parameter Schelp zou gelijk moeten zijn Explorer.exe... Als er andere bestanden in de lijst staan, moet u hun namen en het volledige pad ernaar toe noteren. Verwijder vervolgens al het overbodige en stel de waarde in Explorer.exe.
Parameter userinit zou gelijk moeten zijn C: \ Windows \ system32 \ userinit.exe,(precies zo, met een komma aan het einde, waarbij C de naam is van de systeemschijf). Als bestanden na de komma worden opgegeven, moet u hun namen opschrijven en alles verwijderen wat na de eerste komma is aangegeven.
Er zijn situaties waarin er een vergelijkbare tak is met de naam Microsoft \ WindowsNT \ CurrentVersion \ winlogon... Als deze tak bestaat, moet deze worden verwijderd.
Microsoft \ Windows \ CurrentVersion \ Uitvoeren- de branch bevat instellingen voor autorun-objecten.
U moet vooral voorzichtig zijn met de aanwezigheid van objecten hier die aan de volgende criteria voldoen:
De namen lijken op systeemprocessen, maar programma's worden gestart vanuit verschillende mappen
(Bijvoorbeeld, C: \ Documenten en instellingen \ Dima \ svchost.exe).
Namen zoals vip-porno-1923.avi.exe.
Toepassingen gestart vanuit tijdelijke mappen.
Onbekende toepassingen gestart vanuit systeemmappen (bijvoorbeeld C: \ Windows \ system32 \ install.exe).
Namen bestaan uit willekeurige combinaties van letters en cijfers
(Bijvoorbeeld, C: \ Documenten en instellingen \ Dima \ 094238387764 \ 094238387764.exe).
Als er verdachte objecten aanwezig zijn, moeten hun namen en paden worden vastgelegd en moeten de bijbehorende vermeldingen bij het opstarten worden verwijderd.
Microsoft \ Windows \ CurrentVersion \ RunOnce ook een autoload-tak is, moet deze op dezelfde manier worden geanalyseerd.
Klik na het voltooien van de analyse op de naam van de geladen sectie (in ons geval wordt deze op datum genoemd) en voer uit Bestand -> Hive verwijderen.
Nu is het nodig om het tweede bestand te ontleden - NTUSER.DAT... Loop Regedit, open de struik HKEY_LOCAL_MACHINE en uitvoeren Bestand -> Hive laden... Geef in het geopende venster het pad naar het bestand op NTUSER.DAT, geef de sectie een naam en klik op OK.
De filialen zijn hier interessant Software \ Microsoft \ Windows \ CurrentVersion \ Uitvoeren en Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce die opstartobjecten definiëren.
Het is noodzakelijk om ze te analyseren op de aanwezigheid van verdachte objecten, zoals hierboven aangegeven.
Let ook op de parameter Schelp in een filiaal Software \ Microsoft \ Windows NT \ CurrentVesion \ Winlogon... Het moet een verschil maken Explorer.exe... Tegelijkertijd, als er helemaal geen tak is, is alles in orde.
Klik na het voltooien van de analyse op de naam van de geladen sectie (in ons geval wordt deze op datum genoemd) en voer uit Bestand -> Hive verwijderen.
Nadat u het gecorrigeerde register en de lijst met verdachte bestanden hebt ontvangen, moet u het volgende doen:
Sla het register van de getroffen pc op voor het geval er iets misgaat.
Breng de vaste registerbestanden over naar de overeenkomstige mappen op de betrokken pc met behulp van Dr.Web LiveCD / USB (bestanden kopiëren en vervangen). Bestanden, informatie waarover u tijdens het werk hebt opgenomen - sla op een USB-flashstation op en verwijder het uit het systeem. Kopieën ervan moeten voor analyse naar het viruslaboratorium van Doctor Web worden gestuurd.
Probeer de geïnfecteerde machine op te starten vanaf de harde schijf. Als het downloaden is gelukt
met succes en er is geen banner - het probleem is opgelost. Als de Trojan nog steeds functioneel is,
herhaal alles punt 4 van deze sectie, maar met een meer grondige analyse van alle kwetsbare en veelgebruikte plaatsen in het systeem.
Aandacht! Als de computer na desinfectie met Dr.Web LiveCD / USB niet opstart
(begint cyclisch opnieuw op te starten, BSOD treedt op), u moet het volgende doen:
Zorg ervoor dat er één bestand in de configuratiemap staat software... Het probleem kan ontstaan omdat op Unix-systemen bestandsnamen hoofdlettergevoelig zijn (d.w.z. Software en software- verschillende namen, en deze bestanden kunnen in dezelfde map staan), en het gecorrigeerde bestand software kan aan de map worden toegevoegd zonder de oude te overschrijven. Bij het laden van Windows, waarbij de letters geen rol spelen, ontstaat er een conflict en start het besturingssysteem niet op. Als er twee bestanden zijn, verwijder dan de oudere.
Als softwareéén, en de download vindt niet plaats, is er een grote kans dat het systeem wordt getroffen door een "speciale" wijziging Winlock... Ze schrijft zichzelf naar een tak HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon, in parameter Schelp en overschrijft het bestand userinit.exe... Origineel userinit.exe opgeslagen in dezelfde map, maar onder een andere naam (meestal 03014d3f.exe). Geïnfecteerde verwijderen userinit.exe en hernoem 03014d3f.exe op de juiste manier (de naam kan anders zijn, maar het is gemakkelijk te vinden).
Deze stappen moeten worden uitgevoerd na het opstarten vanaf de Dr.Web LiveCD / USB en vervolgens proberen op te starten vanaf de harde schijf.
In welk stadium het gevecht met de Trojan ook eindigt, je moet jezelf beschermen tegen:
soortgelijke problemen in de toekomst. Installeer het Dr.Web antiviruspakket en regelmatig
update virusdatabases.
