خرجت اللافتة. يتم التعامل معنا عن طريق Windows. Dr.Web Computer Unlock Service

وصف المشكلة: عند فتح أي موقع في المتصفح تنبثق الإعلانات. تحجب اللافتات المنبثقة الفيروسية المحتوى ويتم تحميل صفحات الويب ببطء. يؤدي النقر فوق الروابط في المتصفح إلى فتح النوافذ وعلامات التبويب مع الإعلانات. توضح هذه المقالة كيفية إزالة الإعلانات في متصفح جوجل كروم وياندكس وأوبرا وموزيلا وإنترنت إكسبلورر.

مثال على نافذة بها لافتات خارجية:

من أين تأتي إعلانات الطرف الثالث في المتصفح؟

لماذا لا يزيل برنامج مكافحة الفيروسات الإعلانات من المتصفح؟

لافتة إعلانية ليست فيروسا في حد ذاته. يقوم المستخدم بنفسه بتشغيل برنامج يقوم بإجراء تغييرات على النظام ، معتقدًا أنه قام بتنزيل لعبة أو شيء آمن. ويرى برنامج مكافحة الفيروسات أن الملف لم يتم إطلاقه من تلقاء نفسه كما هو الحال مع الفيروس ، بل أطلقه المستخدم نيابة عنه.

كيفية إزالة الإعلانات في المتصفح - تعليمات مفصلة وفعالة

1 اذهب إلى لوحة التحكموحدد العنصر برامج و مميزات. راجع قائمة البرامج المثبتة بعناية. قم بإزالة البرامج التالية غير المرغوب فيها إذا كانت مدرجة:

أيضًا ، يمكن أن تساعدك الأداة المساعدة لتنظيف المتصفح من Avast:

3 تحقق من إعدادات صفحة البداية الخاصة بك. قم بإزالة صفحات البداية التي وصفها الفيروس. (تعليمات لجوجل كروم:)

انتباه! بدلاً من النقطتين 2 و 3 ، يمكنك ذلك. لكن لاحظ أنه في هذه الحالة ستزيل كل شىءالتطبيقات والإضافات وإعدادات محركات البحث والصفحات الرئيسية. بعد إعادة التعيين ، سيكون عليك تكوين المتصفحات من البداية.

6 تحقق من التغييرات في اختصارات المتصفح. في أغلب الأحيان ، تصف البرامج الضارة صفحة البداية هناك. إذا كان في الميدان شيءأضاف صفحة البداية للعرض http://site-name.ru ، ثم لإزالة الإعلانات في المتصفح ، احذف عنوان الموقع واحفظ الاختصار بالزر "موافق":

إذا لم تتمكن من حفظ الاختصار ، فتحقق من ذلك في علامة التبويب عاملم يكن هناك غراب القراءة فقط. إذا كان كذلك ، قم بإزالته وانقر يتقدم.بعد ذلك انتقل إلى علامة التبويب مُلصَق،احذف التذييل واحفظ التغيير في التسمية باستخدام الزر نعم.

غالبًا ما توجد تذييلات للانتقال إلى المواقع التالية (غالبًا ما تكون ضارة):
(لا تحاول لصق هذه الأسطر في المتصفح!)

mygooglee.ru
www.pribildoma.com
www.rugooglee.ru
sweet-page.com
dengi-v-internete.net
delta-homes.com
v-inet.net
answerstims.net
business-ideia.net
newsray.ru
default-search.net

7 قم بتثبيت CCleaner. عملية تنظيف:

• مخابئ في جميع المتصفحات ؛
• بسكويت؛
• تنظيف ملفات النظام المؤقتة ؛

8 قم بتثبيت MalwareBytes AntiMalware. (اقرأ مقالنا حول كيفية إزالة الإعلانات والبرامج الضارة والفيروسات باستخدامه:)
قواعد التحديث.
قم بإجراء فحص كامل للنظام وإزالة أي فيروسات يتم العثور عليها والتي غالبًا ما تكون سبب إعلانات الجهات الخارجية في Chrome و Firefox و Opera والمتصفحات الأخرى على جهاز كمبيوتر يعمل بأي إصدار من Windows:

إزالة البرامج الضارة التي تسبب الإعلانات في المتصفح

9 نقطة مهمة! تنزيل AdwCleaner. ()
قم بإجراء فحص للنظام وإزالة أي برامج ضارة تم العثور عليها ، ثم إعادة التشغيل. في كثير من الحالات ، يسمح لك هذا البرنامج بمفرده بالقضاء التام على الإعلانات التي تظهر في المتصفح بسبب الإضافات غير المرغوب فيها:

غالبًا ما يساعد هذا البرنامج الصغير في إزالة الإعلانات من المتصفح ببضع نقرات!

10 قم بتشغيل فحص النظام باستخدام إصدار تجريبي من البرنامج HitmanPro. (اقرأ التعليمات التفصيلية حول التسجيل واستخدام البرنامج :). غالبًا ما تساعد هذه الأداة القوية في التخلص من الإعلانات واللافتات المزعجة والنوافذ المنبثقة التي لا تستطيع برامج مكافحة الفيروسات الأخرى التعامل معها.

إذا لم تساعد الخطوات المذكورة أعلاه ، فمن المرجح أن البرامج الضارة قد عدلت إعدادات المتصفح في السجل أو ألحقت أضرارًا جسيمة بالنظام. انتقل إلى العنصر التالي.

ماذا تفعل إذا لم يساعد شيء في إزالة الإعلانات في المتصفح

11 يجب عليك إزالة جميع المتصفحات وتنظيف السجل يدويًا. كيف افعلها؟

• احذف متصفح Opera.
• اعادة التشغيل.
• احذف مجلد C: \ Program Files (x86) \ Opera.
• قم بتشغيل رجديت ، ابحث في التسجيل عن جميع المفاتيح التي تحتوي على الكلمة الأوبراوحذفها يدويًا.
  في الوقت نفسه ، يجب أن تكون حريصًا على عدم حذف المفاتيح التي تحتوي على كلمات متشابهة عن طريق الخطأ ، على سبيل المثال ، الأوبرانشوئها الأوبراتينغ.
  
• احذف متصفح Chrome و Firefox وجميع المستعرضات الأخرى.
• اعادة التشغيل.
• احذف مجلداتهم من ملفات البرنامجو ملفات البرنامج (x86).
• ابحث عن أسماء المتصفحات في مفاتيح وأسماء مفاتيح التسجيل واحذفها.

بعد إلغاء تثبيت جميع المتصفحات:

• يفعل ؛
• قم بتثبيت متصفحك المفضل مرة أخرى وانظر إلى النتيجة.
• إذا لم تكن هناك لافتات ، فقم بتثبيت متصفحات أخرى إذا كنت بحاجة إليها.

أطلب مشاركتك في مشكلتي. سؤالي هو هذا: كيفية إزالة اللافتة: "Send SMS" ، نظام التشغيل Windows 7. بالمناسبة ، تم أيضًا حظر النظام الثاني على جهاز الكمبيوتر الخاص بي الذي يعمل بنظام Windows XP بواسطة لافتة قبل شهر ، لذلك أنا مستخدم محتمل. لا يمكنني الدخول إلى الوضع الآمن ، لكنني تمكنت من الدخول إلى "استكشاف أخطاء الكمبيوتر وإصلاحها" ومن هناك شغّل "استعادة النظام" وحصلت على خطأ - لا توجد نقاط استعادة على محرك أقراص النظام لهذا الكمبيوتر.

لا يمكن العثور على رمز إلغاء القفل على موقع Dr.Web ، وكذلك ESET. في الآونة الأخيرة ، تمت إزالة مثل هذا الشعار من صديق باستخدام قرص استرداد النظام LiveCD ESET NOD32 ، ولكن في حالتي لم يساعد. حاول Dr.Web LiveCD أيضًا. لقد غيرت الساعة في BIOS للأمام لمدة عام ، ولم تختف اللافتة. في العديد من المنتديات على الإنترنت ، يُنصح بتصحيح معلمات UserInit و Shell في فرع التسجيل HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon. لكن كيف يمكنني الوصول إلى هناك؟ مع قرص حي؟ لا تتصل جميع أقراص LiveCD تقريبًا بنظام التشغيل ، ولا تتوفر عمليات مثل تحرير السجل ، وعرض كائنات بدء التشغيل ، بالإضافة إلى سجلات الأحداث من هذا القرص أو أنني مخطئ.

بشكل عام ، هناك معلومات حول كيفية إزالة لافتة على الإنترنت ، لكنها في الأساس ليست كاملة ويبدو لي أن العديد من الأشخاص يقومون بنسخ هذه المعلومات في مكان ما ونشرها على موقع الويب الخاص بهم حتى تكون كذلك ، ولكن اسألهم كيف يعمل كل شيء ، هز أكتافهم. أعتقد أن هذه ليست حالتك ، ولكن بشكل عام أريد حقًا العثور على الفيروس وإزالته بنفسي ، لقد سئمت إعادة تثبيت النظام. والسؤال الأخير - هل هناك اختلاف جوهري في طرق إزالة شعار برامج الفدية في أنظمة التشغيل Windows XP و Windows 7. هل يمكنك المساعدة؟ سيرجي.

كيفية إزالة اللافتة

هناك عدة طرق لمساعدتك على التخلص من الفيروس ، ويسمى أيضًا Trojan.Winlock ، ولكن إذا كنت مستخدمًا مبتدئًا ، فكل هذه الطرق تتطلب منك التحلي بالصبر والمثابرة وفهم أن العدو جاد بالنسبة له. أنت ، إذا كنت لا تخاف ، فلنبدأ.

• تبين أن المقالة طويلة ، لكن كل ما قيل يعمل بالفعل في نظام التشغيل Windows 7 وفي Windows XP ، إذا كان هناك اختلاف في مكان ما ، فسأحدد هذه اللحظة بالتأكيد. أهم شيء يجب معرفته إزالة الشعاروإرجاع نظام التشغيل - بسرعة ، لن ينجح الأمر دائمًا ، ولكن من غير المجدي وضع أموال في حساب المبتزين ، فلن تتلقى أي رد على رمز إلغاء القفل ، لذلك هناك حافز للقتال من أجل نظامك.
• أصدقائي ، في هذه المقالة سنعمل مع بيئة استرداد Windows 7 ، أو بشكل أكثر دقة مع سطر الأوامر الخاص ببيئة الاسترداد. سأعطيك الأوامر اللازمة ، لكن إذا كان من الصعب عليك تذكرها ، يمكنك ذلك. هذا سوف يسهل عملك بشكل كبير.

لنبدأ بالأبسط وننتهي بالأكثر تعقيدًا. كيفية إزالة الشعار باستخدام الوضع الآمن. إذا انتهى تصفحك للإنترنت دون جدوى وقمت بتثبيت رمز خبيث لنفسك عن غير قصد ، فأنت بحاجة إلى البدء بأبسط شيء - حاول الدخول إلى الوضع الآمن (لسوء الحظ ، لن تنجح في معظم الحالات ، لكن الأمر يستحق المحاولة) ، ولكن ستتمكن بالتأكيد من الدخول(على الأرجح) ، عليك أن تفعل الشيء نفسه في كلا الوضعين ، دعنا نلقي نظرة على كلا الخيارين.

في المرحلة الأولى من تحميل الكمبيوتر ، اضغط على F-8 ، ثم اختر ، إذا تمكنت من إدخاله ، فيمكنك القول إنك محظوظ جدًا وسيتم تبسيط المهمة لك. أول شيء يجب تجربته هو الرجوع إلى الحالة السابقة باستخدام نقاط الاستعادة منذ بعض الوقت. من لا يعرف كيفية استخدام استعادة النظام ، اقرأ بالتفصيل هنا -. إذا لم تنجح استعادة النظام ، فجرب شيئًا آخر.

اكتب msconfig في مربع التشغيل ،

يجب أيضًا ألا يكون لديك أي شيء في المجلد ،. أم أنها تقع في

C: \ Users \ Username \ AppData \ Roaming \ Microsoft \ Windows \ قائمة ابدأ \ البرامج \ بدء التشغيل.

ملاحظة مهمة: الأصدقاء ، في هذه المقالة ، سيتعين عليك التعامل بشكل أساسي مع المجلدات التي تحتوي على السمة المخفية (على سبيل المثال AppData ، وما إلى ذلك) ، وبالتالي ، بمجرد الدخول إلى الوضع الآمنأو الوضع الآمن مع دعم سطر الأوامر، قم بتشغيل النظام على الفور إظهار الملفات و المجلدات المخفية، وإلا فلن ترى المجلدات الضرورية التي يختبئ فيها الفيروس. من السهل جدا القيام بذلك.

ويندوز إكس بي
افتح أي مجلد وانقر على قائمة "أدوات" ، وحدد "خيارات المجلد" ، ثم انتقل إلى علامة التبويب "عرض» التالي ، في الجزء السفلي ، حدد العنصر "" وانقر فوق موافق

ويندوز 7
ابدأ -> لوحة التحكم-> عرض: فئة - أيقونات صغيرة -> خيارات المجلد -> عرض. في الجزء السفلي ، حدد المربع " إظهار الملفات و المجلدات المخفية».

لذا عد إلى المقال. نحن ننظر إلى المجلد ، يجب ألا يكون لديك أي شيء فيه.

تأكد من عدم وجود مجلدات وملفات غير مألوفة ومشبوهة في جذر القرص (C :) ، على سبيل المثال ، بهذا الاسم غير المفهوم OYSQFGVXZ.exe ، إذا كانت هناك حاجة إلى حذفها.

انتبه الآن: في نظام التشغيل Windows XP ، نحذف الملفات المشبوهة (يظهر المثال أعلاه في لقطة الشاشة) بأسماء غريبة وملفات

مع ملحق. exe من المجلدات

ج: \
ج: \ المستندات والإعدادات \ اسم المستخدم \ بيانات التطبيق
ج: \ المستندات والإعدادات \ اسم المستخدم \ الإعدادات المحلية
C: \ Documents and Settings \ Username \ Local Settings \ Temp- احذف كل شيء من هنا ، هذا مجلد من الملفات المؤقتة.

يتمتع Windows 7 بمستوى جيد من الأمان وفي معظم الحالات لن يسمح للبرامج الضارة بإجراء تغييرات على السجل ، وتميل الغالبية العظمى من الفيروسات أيضًا إلى الوصول إلى دليل الملفات المؤقتة:
C: \ USERS \ username \ AppData \ Local \ Temp، من هنا يمكنك تشغيل الملف القابل للتنفيذ. على سبيل المثال ، أذكر جهاز كمبيوتر مصابًا ، في لقطة الشاشة نرى ملف الفيروس 24kkk290347.exe ومجموعة أخرى من الملفات التي أنشأها النظام في نفس الوقت تقريبًا مع الفيروس ، كل شيء يحتاج إلى حذف.

يجب ألا يكون فيها أي شيء مشبوه ، إذا كان هناك شيء ، نقوم بحذفه.

وتأكد من:

في معظم الحالات ، ستؤدي الخطوات المذكورة أعلاه إلى إزالة الشعار وتشغيل النظام بشكل طبيعي. بعد التمهيد العاديتحقق من جهاز الكمبيوتر الخاص بك بالكامل باستخدام ماسح ضوئي مجاني لمكافحة الفيروسات مع آخر التحديثات - Dr.Web CureIt ، قم بتنزيله من موقع Dr.Web.

• ملاحظة: يمكنك على الفور إصابة نظام يتم تشغيله بشكل طبيعي بفيروس مرة أخرى عن طريق الاتصال بالإنترنت ، حيث سيفتح المتصفح جميع صفحات المواقع التي قمت بزيارتها مؤخرًا ، ومن بينها بطبيعة الحال موقع فيروسات ، بالإضافة إلى ملف فيروسات قد تكون موجودة في المجلدات المؤقتة للمتصفح. وجدنا و الذي استخدمته مؤخرًا في: C: \ Users \ Username \ AppData \ Roaming \ Browser name، (Opera أو Mozilla على سبيل المثال) وفي مكان واحد آخر C: \ Users \ Username \ AppData \ Local \ اسم المستعرض الخاص بك، حيث (C:) هو القسم المثبت عليه نظام التشغيل. بالطبع ، بعد هذا الإجراء ، ستفقد جميع إشاراتك المرجعية ، لكن خطر الإصابة مرة أخرى ينخفض ​​بشكل كبير.

الوضع الآمن مع دعم سطر الأوامر.

إذا كان الشعار الخاص بك لا يزال على قيد الحياة بعد كل هذا ، فلا تستسلم للقراءة.أو انتقل على الأقل إلى منتصف المقالة واقرأ المعلومات الكاملة حول إصلاح إعدادات التسجيل في حالة إصابة شعار برنامج الفدية.

ماذا أفعل إذا لم أتمكن من الدخول إلى الوضع الآمن؟ محاولة الوضع الآمن مع دعم سطر الأوامر، هناك نفعل الشيء نفسه ، ولكن هناك فرقفي أوامر Windows XP و Windows 7.

تطبيق استعادة النظام.
في Windows 7 ، أدخل rstrui.exe واضغط على Enter - ندخل إلى نافذة استعادة النظام.

أو حاول كتابة الأمر: explorer - سيتم تشغيل نوع من سطح المكتب ، حيث يمكنك فتح جهاز الكمبيوتر الخاص بي والقيام بنفس الشيء كما هو الحال في الوضع الآمن - افحص الكمبيوتر بحثًا عن الفيروسات ، وانظر مجلد بدء التشغيل وجذر القرص (C: ) ، بالإضافة إلى ملفات الدليل المؤقتة: قم بتحرير التسجيل حسب الحاجة ، وما إلى ذلك.

للوصول إلى استعادة نظام Windows XP ، في سطر الأوامر ، اكتب- ٪ systemroot٪ \ system32 \ استعادة \ rstrui.exe,

للوصول إلى Windows XP في المستكشف ونافذة My Computer ، كما في السبعة ، نكتب أمر explorer.

هنا تحتاج أولاً إلى كتابة مستكشف الأوامر وسيتم نقلك مباشرةً إلى سطح المكتب. لا يستطيع العديد من الأشخاص تبديل تخطيط لوحة المفاتيح الروسية الافتراضي إلى اللغة الإنجليزية في سطر الأوامر باستخدام تركيبة alt-shift ، ثم جرب shift-alt بالعكس.

انتقل هنا بالفعل إلى قائمة ابدأ ، ثم تشغيل.

ثم حدد بدء التشغيل - احذف كل شيء منه ، ثم افعل كل ما فعلته وجذر القرص (C :) ، واحذف الفيروس من دليل الملفات المؤقتة: C: \ USERS \ username \ AppData \ Local \ Temp ،تحرير التسجيل حسب الحاجة ( كل التفاصيل موصوفة أعلاه.).

استعادة النظام. ستكون الأمور مختلفة قليلاً بالنسبة لنا إذا لم تتمكن من الدخول إلى الوضع الآمن والوضع الآمن مع دعم سطر الأوامر. هل هذا يعني أنه لا يمكنني استخدام استعادة النظام؟ لا ، هذا لا يعني أنه من الممكن التراجع باستخدام نقاط الاستعادة ، حتى إذا كان نظام التشغيل لديك لا يعمل في أي وضع. في Windows 7 ، تحتاج إلى استخدام بيئة الاسترداد ، في المرحلة الأولية من تمهيد الكمبيوتر ، اضغط على F-8 واختر من القائمة استكشاف أخطاء جهاز الكمبيوتر الخاص بك وإصلاحها,

في نافذة خيارات الاسترداد ، حدد استعادة النظام مرة أخرى ،

الآن الانتباه ، إذا قمت بالضغط على F-8 القائمة استكشاف الأخطاء وإصلاحهاغير متوفر ، إذن لديك ملفات تالفة تحتوي على بيئة استرداد Windows 7.

• هل من الممكن الاستغناء عن قرص مضغوط مباشر؟ من حيث المبدأ ، نعم ، اقرأ المقال حتى النهاية.

الآن دعنا نفكر في الطريقة التي سنتصرف بها إذا تعذر بدء استعادة النظام بأي وسيلة أو تم تعطيله تمامًا. أولاً ، دعنا نرى كيفية إزالة اللافتة باستخدام رمز إلغاء القفل ، والذي تم توفيره من قبل شركات برامج مكافحة الفيروسات Dr.Web ، وكذلك ESET NOD32 و Kaspersky Lab ، في هذه الحالة ، ستحتاج إلى مساعدة الأصدقاء. من الضروري أن يذهب أحدهم إلى خدمة إلغاء القفل ، على سبيل المثال Dr.Web

https://www.drweb.com/xperf/unlocker/

http://www.esetnod32.ru/.support/winlock/

وكذلك كاسبيرسكي لاب

http://sms.kaspersky.ru/ وأدخلت في هذا الحقل رقم الهاتف الذي تريد تحويل الأموال إليه لإلغاء قفل الكمبيوتر والنقر فوق الزر - ابحث عن الرموز. إذا تم العثور على رمز إلغاء القفل ، فأدخله في نافذة الشعار وانقر فوق التنشيط أو أيًا كان ما كتبته هناك ، يجب أن يختفي الشعار.

هناك طريقة أخرى سهلة لإزالة الشعار وهي استخدام قرص الاسترداد أو ، كما يطلق عليها أيضًا ، الإنقاذ من و. تم وصف العملية برمتها من التنزيل وحرق الصورة إلى قرص مضغوط فارغ وفحص جهاز الكمبيوتر الخاص بك بحثًا عن الفيروسات بالتفصيل في مقالاتنا ، يمكنك اتباع الروابط ، ولن نتطرق إلى هذا الأمر. بالمناسبة ، أقراص الإنقاذ من شركات مكافحة الفيروسات ليست سيئة على الإطلاق ، يمكن استخدامها مثل قرص حي - إجراء عمليات ملفات مختلفة ، على سبيل المثال ، نسخ البيانات الشخصية من نظام مصاب أو تشغيل Dr.Web CureIt ، أداة معالجة من محرك أقراص فلاش USB. وفي قرص الإنقاذ ESET NOD32 ، هناك شيء رائع ساعدني أكثر من مرة - Userinit_fix ، الذي يعمل على إصلاح إعدادات التسجيل المهمة على جهاز كمبيوتر مصاب بشعار - Userinit ، فروع HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon .

كيفية إصلاح كل هذا يدويًا ، تابع القراءة.
حسنًا ، أصدقائي ، إذا قرأ شخص آخر المقالة أكثر ، فأنا سعيد جدًا برؤيتك ، سيبدأ الشيء الأكثر إثارة للاهتمام الآن ، إذا تمكنت من استيعاب هذه المعلومات وتطبيقها في الممارسة العملية ، فإن العديد من الأشخاص العاديين الذين خالي من اللافتات الابتزازية سوف يعتبرك تمامًا كمخترق حقيقي.

دعونا لا نخدع أنفسنا ، شخصيًا ، كل ما تم وصفه أعلاه ساعدني في نصف حالات حظر جهاز كمبيوتر باستخدام برنامج مانع الفيروسات - Trojan.Winlock. النصف الآخر يتطلب دراسة متأنية أكثر للمسألة التي سنتعامل معها.
في الواقع ، يقوم الفيروس بحظر نظام التشغيل الخاص بك ، على أي حال Windows 7 أو Windows XP ، يقوم بإجراء تغييراته الخاصة على السجل ، بالإضافة إلى مجلدات Temp التي تحتوي على ملفات مؤقتة والمجلد C: \ Windows-> system32. يجب علينا تصحيح هذه التغييرات. لا تنسَ بدء-> كافة البرامج-> مجلد بدء التشغيل أيضًا. الآن حول كل هذا بالتفصيل.

• خذ وقتك مع أصدقائك ، أولاً سأصف بالضبط أين يوجد بالضبط ما يجب إصلاحه ، وبعد ذلك سأوضح كيف وبأية أدوات.

في Windows 7 و Windows XP ، يؤثر شعار برامج الفدية على نفس إعدادات UserInit و Shell في التسجيل في ملف

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.
من الناحية المثالية يجب أن يكونوا هكذا:
Userinit - C: \ Windows \ system32 \ userinit.exe,
شل- explorer.exe

تحقق من كل شيء إملائيًا بحرف ، في بعض الأحيان بدلاً من userinit يأتي عبر ، على سبيل المثال ، usernit أو userlnlt.
تحتاج أيضًا إلى التحقق من معلمة AppInit_DLLs في فرع التسجيل HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ AppInit_DLLs، إذا وجدت شيئًا هناك ، على سبيل المثال C: \ WINDOWS \ SISTEM32 \ uvf.dll ، يجب حذف كل هذا.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnceلا ينبغي أن يكون هناك أي شيء مريب بشأنهم.

وتأكد من:

HKEY_CURRENT_USER \ البرمجيات \ مايكروسوفت \ ويندوز \ كرنتفرسون \ تشغيل

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Shell (يجب أن يكون فارغًا) وبشكل عام يجب ألا يكون هناك شيء غير ضروري هنا أيضًا.تحليل تلقائييجب أن تكون مساوية لـ 1 .

تحتاج أيضًا إلى حذف كل شيء من المجلدات المؤقتة (توجد أيضًا مقالة حول هذا الموضوع) ، ولكن في نظامي التشغيل Windows 7 و Windows XP ، توجد بشكل مختلف قليلاً:

ويندوز 7:
C: \ Users \ Username \ AppData \ Local \ Temp. تحب الفيروسات أن تستقر هنا بشكل خاص.
C: \ Windows \ Temp
ج: \ ويندوز \
ويندوز إكس بي:
C: \ المستندات والإعدادات \ ملف تعريف المستخدم \ الإعدادات المحلية \ درجة الحرارة
C: \ المستندات والإعدادات \ ملف تعريف المستخدم \ الإعدادات المحلية \ ملفات الإنترنت المؤقتة.
C: \ Windows \ Temp
C: \ Windows \ الجلب المسبق
لن يكون من الضروري إلقاء نظرة على المجلد C: \ Windows-> system32 في كلا النظامين ، حيث تنتهي جميع الملفات بـ exe. و dll مع التاريخ في يوم إصابة جهاز الكمبيوتر الخاص بك بشعار. يجب حذف هذه الملفات.

والآن انظر كيف سيقوم مستخدم مبتدئ ومن ثم خبير بتنفيذ كل هذا. لنبدأ مع Windows 7 ثم ننتقل إلى XP.

كيفية إزالة الشعار في Windows 7 إذا تم تعطيل استعادة النظام؟

تخيل السيناريو الأسوأ. تم حظر تسجيل الدخول إلى Windows 7 بواسطة لافتة برامج الفدية. استعادة النظام معطلة. أسهل طريقة هي الدخول إلى نظام Windows 7 باستخدام قرص استرداد بسيط (يمكنك القيام بذلك مباشرة في نظام التشغيل Windows 7 - الموضح بالتفصيل في مقالتنا) ، يمكنك أيضًا استخدام قرص تثبيت Windows 7 بسيط أو أي من أبسط قرص حي. قم بالتمهيد في بيئة الاسترداد ، وحدد استعادة النظام ، ثم حدد سطر الأوامر

ونكتب فيه - المفكرة ، ندخل إلى المفكرة ، ثم الملف والفتح.

نذهب إلى المستكشف الحقيقي ، انقر فوق جهاز الكمبيوتر الخاص بي.

نذهب إلى المجلد C: \ Windows \ System32 \ Config ، وهنا نحدد نوع الملف - جميع الملفات ونرى ملفات التسجيل الخاصة بنا ، ونرى أيضًا مجلد RegBack ،

في كل 10 أيام ، يقوم برنامج جدولة المهام بعمل نسخة احتياطية من مفاتيح التسجيل - حتى إذا تم تعطيل استعادة النظام. ما يمكن فعله هنا هو حذف ملف SOFTWARE من المجلد C: \ Windows \ System32 \ Config ، المسؤول عن خلية التسجيل HKEY_LOCAL_MACHINE \ SOFTWARE ، وغالبًا ما يقوم الفيروس بإجراء تغييراته هنا.

وفي مكانه ، انسخ والصق الملف الذي يحمل نفس الاسم SOFTWARE من النسخة الاحتياطية لمجلد RegBack.

في معظم الحالات ، سيكون هذا كافيًا ، ولكن إذا كنت ترغب في ذلك ، يمكنك استبدال جميع خلايا التسجيل الخمسة من مجلد RegBack في مجلد التكوين: SAM ، SECURITY ، SOFTWARE ، DEFAULT ، SYSTEM.

بعد ذلك ، نقوم بكل شيء كما هو مكتوب أعلاه - حذف الملفات من مجلدات Temp المؤقتة ، وانظر إلى C: \ Windows-> مجلد system32 للملفات ذات الامتداد exe. و dll مع التاريخ في يوم الإصابة ، وبالطبع انظر في محتويات مجلد بدء التشغيل.

يوجد على Windows 7:

C: \ Users \ ALEX \ AppData \ Roaming \ Microsoft \ Windows \ قائمة ابدأ \ البرامج \ بدء التشغيل.

ويندوز إكس بي:

C: \ Documents and Settings \ All Users \ القائمة الرئيسية \ البرامج \ بدء التشغيل.

• كيف يفعل المستخدمون المتمرسون الشيء نفسه ، هل تعتقد أنهم يستخدمون قرص حي بسيط أو قرص استرداد لنظام التشغيل Windows 7؟ بعيدًا عن الأصدقاء ، يستخدمون أداة احترافية جدًا - إصدار Microsoft Diagnostic and Recovery Toolset (DaRT): 6.5 لنظام التشغيل Windows 7- هذا تجميع احترافي للأدوات المساعدة الموجودة على القرص وهو ضروري لمسؤولي النظام لاستعادة إعدادات نظام التشغيل المهمة بسرعة. إذا كنت مهتمًا بهذه الأداة ، فاقرأ مقالتنا.

بالمناسبة ، يمكنه الاتصال بشكل مثالي بنظام التشغيل Windows 7. عن طريق تشغيل جهاز الكمبيوتر الخاص بك من Microsoft Recovery Disk (DaRT) ، يمكنك تحرير السجل ، وإعادة تعيين كلمات المرور ، وحذف الملفات ونسخها ، واستخدام استعادة النظام ، وغير ذلك الكثير. بالطبع ، ليس كل قرص حي لديه مثل هذه الميزات.
نقوم بتشغيل جهاز الكمبيوتر الخاص بنا من هذا ، كما يطلق عليه أيضًا ، قرص إنعاش Microsoft (DaRT) ، تهيئة اتصال الشبكة في الخلفية ، إذا لم نكن بحاجة إلى الإنترنت ، فنحن نرفض.

قم بتعيين أحرف محركات الأقراص بنفس الطريقة كما هو الحال في النظام الهدف - قل نعم ، من الأنسب العمل بهذه الطريقة.

لن أصف جميع الأدوات ، لأن هذا موضوع لمقال كبير وأنا أقوم بإعداده.
لنأخذ أول أداة محرر التسجيل ، وهي أداة تتيح لك العمل مع سجل نظام التشغيل المتصل Windows 7.

نذهب إلى المعلمة Winlogon لفرع HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon وقم ببساطة بتحرير الملفات يدويًا - Userinit و Shell. كم يجب أن تكون مهمة ، أنت تعرف بالفعل.

Userinit - C: \ Windows \ system32 \ userinit.exe ،
شل- explorer.exe

في حالتنا ، تحتاج إلى تنظيف مجلدات Temp المؤقتة من كل شيء ، وعددها ومكان وجودها في Windows 7 ، أنت تعرف بالفعل من منتصف المقالة.
لكن الانتباه! نظرًا لأن مجموعة أدوات التشخيص والاسترداد من Microsoft متصلة تمامًا بنظام التشغيل الخاص بك ، فلن تتمكن من حذف ، على سبيل المثال ، ملفات التسجيل -SAM ، SECURITY ، SOFTWARE ، DEFAULT ، SYSTEM ، لأنها قيد التقدم ، ولكن يرجى إجراء تغييرات.

كيفية إزالة الشعار في نظام التشغيل Windows XP

مرة أخرى ، النقطة في الأداة ، أقترح استخدام ERD Commander 5.0 (رابط المقالة أعلاه) ، كما قلت في بداية المقال ، فهو مصمم خصيصًا لحل مثل هذه المشكلات في نظام التشغيل Windows XP. سيسمح لك ERD Commander 5.0 بالاتصال المباشر بنظام التشغيل والقيام بكل ما فعلناه باستخدام مجموعة أدوات التشخيص والاسترداد من Microsoft في Windows 7.
نقوم بتشغيل جهاز الكمبيوتر الخاص بنا من قرص الاسترداد. حدد الخيار الأول للاتصال بنظام تشغيل مصاب.

حدد التسجيل.

نحن ننظر إلى معلمات UserInit و Shell في فرع HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon. كما قلت أعلاه ، يجب أن يكون لديهم مثل هذه القيمة.
Userinit - C: \ Windows \ system32 \ userinit.exe ،
شل- explorer.exe

ننظر أيضًا إلى HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ AppInit_DLLs - يجب أن يكون فارغًا.

بعد ذلك ، انتقل إلى المستكشف واحذف كل شيء من مجلدات Temp المؤقتة.
وإلا كيف يمكنك إزالة لافتة في نظام التشغيل Windows XP باستخدام قائد ERD (بالمناسبة ، هذه الطريقة قابلة للتطبيق على أي قرص مضغوط مباشر). يمكنك محاولة القيام بذلك حتى بدون الاتصال بنظام التشغيل. قم بتنزيل ERD Commander واعمل دون الاتصال بنظام Windows XP ،

في هذا الوضع ، سنتمكن من حذف ملفات التسجيل واستبدالها ، حيث إنها لن تشارك في العمل. حدد Explorer.

توجد ملفات التسجيل في نظام التشغيل Windows XP في المجلد C: \ Windows \ System32 \ Config. والنسخ الاحتياطية لملفات التسجيل التي تم إنشاؤها أثناء تثبيت Windows XP موجودة في مجلد الإصلاح الموجود في C: \ Windows \ repair.

نفعل الشيء نفسه ، انسخ ملف البرنامج أولاً ،

وبعد ذلك يمكنك أيضًا بقية ملفات التسجيل - SAM و SECURITY و DEFAULT و SYSTEM بدورها من مجلد الإصلاح واستبدالها بنفس الملفات الموجودة في المجلد C: \ Windows \ System32 \ Config. استبدل الملف؟ نحن نتفق - نعم.

أريد أن أقول أنه في معظم الحالات يكفي استبدال ملف SOFTWARE واحد. من خلال استبدال ملفات التسجيل من مجلد الإصلاح ، هناك فرصة جيدة لتشغيل النظام ، ولكن ستفقد معظم التغييرات التي أجريتها بعد تثبيت Windows XP. ضع في اعتبارك ما إذا كانت هذه الطريقة مناسبة لك. لا تنس إزالة كل شيء غير مألوف من بدء التشغيل. من حيث المبدأ ، لا ينبغي حذف عميل MSN Messenger إذا كنت بحاجة إليه.

والطريقة الأخيرة اليوم للتخلص من لافتة برامج الفدية باستخدام قرص ERD Commander أو أي قرص مضغوط مباشر

إذا تم تمكين استعادة النظام في نظام التشغيل Windows XP ، ولكن لا يمكنك تطبيقه ، فيمكنك محاولة القيام بذلك. نذهب إلى المجلد C: \ Windows \ System32 \ Config الذي يحتوي على ملفات التسجيل.

افتح اسم الملف الكامل باستخدام شريط التمرير واحذف SAM ، SECURITY ، SOFTWARE ، DEFAULT ، SYSTEM. بالمناسبة ، قبل حذفها ، يمكنك نسخها في مكان ما فقط في حالة أنك لا تعرف ماذا أبدًا. ربما تريد أن تلعب.

بعد ذلك ، انتقل إلى المجلد معلومات وحدة تخزين النظام \ _ استعادة (E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2) \ RP \لقطة ، هنا نقوم بنسخ الملفات التي هي نسخ احتياطية لفرع التسجيل لدينا HKEY_LOCAL_MACHINE \
REGISTER_MACHINE \ SAM
REGISTRY_MACHINE \ SECURITY
REGISTRY_MACHINE \ SOFTWARE
REGISTER_MACHINE \ DEFAULT
REGISTER_MACHINE \ SYSTEM

قم بلصقها في المجلد C: \ Windows \ System32 \ Config

ثم نذهب إلى مجلد التكوين ونعيد تسميته ، ونحذف REGISTRY_MACHINE \ ، وبالتالي نترك ملفات التسجيل الجديدة SAM ، SECURITY ، SOFTWARE ، DEFAULT ، SYSTEM.

ثم نقوم بحذف محتويات مجلدي Temp و Prefetch ، وحذف كل شيء من مجلد Startup كما هو موضح أعلاه. سأكون سعيدا إذا ساعد شخص ما. بالإضافة إلى المقال ، تمت كتابة مقال صغير وممتع ، يمكنك قراءته.

من سطح مكتب Windows. ربما تعرف بالفعل كيف يبدو الشعار الموجود على سطح المكتب ، نظرًا لأنك مهتم بهذه المقالة. هذه المشكلة موجودة وموجودة منذ فترة طويلة. بهذه الطريقة المتواضعة ، يكسب بعض الأفراد غير الواعين خبزهم اليومي ويفسدون أعصاب أصحاب أجهزة الكمبيوتر الشخصية السعداء.

ما هي لافتة سطح المكتب؟

اللافتةبرنامج ضار يمنع Windows ويعرض وحدة برامج إعلانية بمتطلبات مختلفة:

• إرسال الرسائل القصيرة إلى رقم قصير
• تحويل الأموال إلى المحفظة
• تجديد حساب الهاتف المحدد
• قم بالدفع من خلال المحطة

تلبية لافتاتمجموعة متنوعة من الألوان والمحتوى ، ولكن جميعها تمنع التحكم في نظام التشغيل Windows جزئيًا أو كليًا ، مما يحرم مالك الكمبيوتر من وظائف معينة ، ويطلب المال لفتحه والعودة إلى حالته الأصلية.

Winlocker (Trojan.Winlock)- فيروس كمبيوتر يمنع الوصول إلى Windows. بعد الإصابة ، يطالب المستخدم بإرسال رسالة نصية قصيرة لتلقي رمز يعيد أداء الكمبيوتر. يحتوي على العديد من تعديلات البرامج: من الأبسط - "المقدم" في شكل وظيفة إضافية ، إلى الأكثر تعقيدًا - تعديل قطاع التمهيد في محرك الأقراص الثابتة.

تحذير! إذا كان جهاز الكمبيوتر الخاص بك مقفلاً بواسطة winlocker ، فلا يجب عليك تحت أي ظرف من الظروف إرسال رسالة نصية قصيرة أو تحويل الأموال لتلقي رمز إلغاء تأمين نظام التشغيل. ليس هناك ما يضمن أنه سيتم إرسالها إليك. وإذا حدث هذا ، فاعلم أنك ستمنح المهاجمين أموالك التي كسبتها بشق الأنفس مقابل لا شيء. لا تقع في فخ الحيل! الحل الصحيح الوحيد في هذه الحالة هو إزالة فيروس رانسومواري من الكمبيوتر.

الإزالة الذاتية لشعار برامج الفدية

هذه الطريقة قابلة للتطبيق على winlockers التي لا تمنع تشغيل نظام التشغيل في الوضع الآمن ومحرر التسجيل وسطر الأوامر. يعتمد مبدأ التشغيل الخاص به على استخدام أدوات النظام المساعدة فقط (بدون استخدام برامج مكافحة الفيروسات).

1. عندما ترى لافتة ضارة على شاشتك ، قم أولاً بإيقاف تشغيل اتصال الإنترنت.

2. أعد تشغيل نظام التشغيل في الوضع الآمن:

• في وقت إعادة تشغيل النظام ، اضغط باستمرار على المفتاح "F8" حتى تظهر قائمة "خيارات التمهيد الإضافية" على الشاشة ؛
• استخدم أسهم المؤشر لتحديد "الوضع الآمن مع دعم سطر الأوامر" واضغط على "أدخل".

انتباه! إذا رفض الكمبيوتر التمهيد في الوضع الآمن أو لم تبدأ أدوات سطر الأوامر / النظام المساعدة ، فحاول إزالة winlocker بطريقة أخرى (انظر أدناه).

3. في سطر الأوامر ، اكتب الأمر - msconfig ، ثم اضغط على "ENTER".

4. ستظهر لوحة تكوين النظام على الشاشة. افتح علامة التبويب "بدء التشغيل" فيه وقم بمراجعة قائمة العناصر بعناية لوجود برنامج Winlocker. كقاعدة عامة ، يحتوي اسمه على مجموعات أبجدية رقمية لا معنى لها ("mc.exe" ، "3dec23ghfdsk34.exe" ، إلخ.) قم بتعطيل كافة الملفات المشبوهة وتذكر / اكتب أسمائها.

5. أغلق اللوحة وانتقل إلى سطر الأوامر.

6. اكتب الأمر "رجديت" (بدون علامات اقتباس) + "إدخال". عند التنشيط ، سيفتح محرر تسجيل Windows.

7. في قسم "تحرير" بقائمة المحرر ، انقر فوق "بحث ...". اكتب اسم وامتداد winlocker الموجودان في التحميل التلقائي. ابدأ البحث باستخدام الزر "بحث عن التالي ...". يجب حذف جميع الإدخالات التي تحمل اسم الفيروس. استمر في المسح باستخدام المفتاح "F3" حتى يتم فحص جميع الأقسام.

8. على الفور ، في المحرر ، تتحرك على طول العمود الأيسر ، اعرض الدليل:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ الإصدار الحالي \ Winlogon.

يجب أن يكون إدخال "shell" هو "explorer.exe" ؛ إدخال "Userinit" هو "C: \ Windows \ system32 \ userinit.exe ،".

وإلا ، إذا تم اكتشاف تعديلات ضارة ، فاستخدم وظيفة "الإصلاح" (زر الماوس الأيمن - قائمة السياق) لتعيين القيم الصحيحة.

9. أغلق المحرر وارجع إلى سطر الأوامر.

10. الآن أنت بحاجة إلى إزالة لافتة من سطح المكتب. للقيام بذلك ، أدخل الأمر "explorer" في السطر (بدون علامات اقتباس). عندما يظهر Windows shell ، قم بإزالة جميع الملفات والاختصارات ذات الأسماء غير المعتادة (التي لم تقم بتثبيتها على النظام). على الأرجح ، أحدهم هو اللافتة.

11. أعد تشغيل Windows في الوضع العادي وتأكد من أنك تمكنت من إزالة البرامج الضارة:

• إذا اختفى الشعار - اتصل بالإنترنت ، وقم بتحديث قواعد البيانات الخاصة ببرنامج مكافحة الفيروسات المثبت أو استخدم منتجًا بديلًا لمكافحة الفيروسات وفحص جميع أقسام القرص الصلب ؛
• إذا استمر الشعار في حظر نظام التشغيل ، فاستخدم طريقة إزالة أخرى. من الممكن أن يكون جهاز الكمبيوتر الخاص بك قد تعرض للاصطدام بـ winlocker ، والذي "تم إصلاحه" في النظام بطريقة مختلفة قليلاً.

الإزالة باستخدام أدوات مكافحة الفيروسات

لتنزيل الأدوات التي تزيل برامج Winlockers وتحرقها على قرص ، ستحتاج إلى كمبيوتر أو كمبيوتر محمول آخر غير مصاب. اطلب من جار أو صديق أو صديق استخدام جهاز الكمبيوتر الخاص به لمدة ساعة أو ساعتين. قم بتخزين 3-4 أقراص فارغة (CD-R أو DVD-R).

النصيحة!إذا كنت تقرأ هذا المقال لأغراض إعلامية وكان جهاز الكمبيوتر الخاص بك ، الحمد لله ، على قيد الحياة وبصحة جيدة ، فلا يزال بإمكانك تنزيل أدوات المعالجة التي تمت مناقشتها في هذه المقالة وحفظها على أقراص أو محرك أقراص USB محمول. تضاعف "حقيبة الإسعافات الأولية" المعدة من فرصك في هزيمة اللافتة الفيروسية! بسرعة وبدون قلق لا داعي له.

1. انتقل إلى الموقع الرسمي لمطوري الأدوات المساعدة - antiwinlocker.ru.

2. في الصفحة الرئيسية ، انقر فوق الزر AntiWinLockerLiveCd.

3. ستفتح قائمة روابط تنزيل توزيعات البرامج في علامة تبويب متصفح جديدة. في عمود "صور القرص لعلاج الأنظمة المصابة" ، اتبع الرابط "تنزيل صورة AntiWinLockerLiveCd" مع رقم الإصدار الأقدم (الأحدث) (على سبيل المثال ، 4.1.3).

4. قم بتنزيل صورة ISO على جهاز الكمبيوتر الخاص بك.

5. انسخه على DVD-R / CD-R باستخدام ImgBurn أو Nero باستخدام وظيفة "نسخ صورة القرص". يجب كتابة صورة ISO في شكل غير معبأ من أجل الحصول على قرص قابل للتمهيد.

6. أدخل القرص المزود بخاصية AntiWinLocker في الكمبيوتر حيث تنتشر اللافتة. أعد تشغيل نظام التشغيل وانتقل إلى BIOS (اكتشف مفتاح الاختصار للدخول فيما يتعلق بجهاز الكمبيوتر الخاص بك ؛ الخيارات هي "Del" ، "F7"). قم بتثبيت التمهيد ليس من محرك الأقراص الثابتة (قسم النظام C) ، ولكن من محرك أقراص DVD.

7. أعد تشغيل الكمبيوتر مرة أخرى. إذا فعلت كل شيء بشكل صحيح - نسخ الصورة بشكل صحيح على القرص ، وتغيير إعداد التمهيد في BIOS - فستظهر قائمة الأداة المساعدة AntiWinLockerLiveCd على الشاشة.

8. لإزالة فيروس ransomware تلقائيًا من جهاز الكمبيوتر الخاص بك ، انقر فوق الزر "ابدأ". وهذا كل شيء! لا توجد إجراءات أخرى مطلوبة - التدمير بنقرة واحدة.

9. في نهاية إجراء الإزالة ، ستقدم الأداة المساعدة تقريرًا عن العمل المنجز (الخدمات والملفات التي تم إلغاء حظرها ومعالجتها).

10. أغلق الأداة. عند إعادة تشغيل النظام ، ارجع إلى BIOS وحدد التمهيد من محرك الأقراص الثابتة. ابدأ تشغيل نظام التشغيل في الوضع العادي ، وتحقق من أدائه.

WindowsUnlocker (كاسبيرسكي لاب)

1. افتح صفحة sms.kaspersky.ru (موقع Kaspersky Lab الرسمي) في متصفحك.

2. انقر فوق الزر "تنزيل WindowsUnlocker" (الموجود أسفل النقش "كيفية إزالة الشعار").

3. انتظر حتى يتم تنزيل صورة قرص التمهيد من Kaspersky Rescue Disk باستخدام الأداة المساعدة WindowsUnlocker على الكمبيوتر.

4. انسخ صورة ISO بنفس طريقة الأداة المساعدة AntiWinLockerLiveCd - قم بإنشاء قرص قابل للتمهيد.

5. اضبط BIOS الخاص بجهاز الكمبيوتر المقفل للتمهيد من محرك أقراص DVD. أدخل قرص Kaspersky Rescue Disk LiveCD وأعد تشغيل النظام.

6. لتشغيل الأداة المساعدة ، اضغط على أي مفتاح ، ثم استخدم أسهم المؤشر لتحديد لغة الواجهة ("الروسية") واضغط على "إدخال".

7. اقرأ شروط الاتفاقية واضغط على مفتاح "1" (أوافق).

8. عندما يظهر سطح مكتب برنامج Kaspersky Rescue Disk على الشاشة ، انقر فوق الرمز الموجود في أقصى اليسار في شريط المهام (الحرف "K" على خلفية زرقاء) لفتح قائمة القرص.

9. حدد "المحطة الطرفية".

10. في نافذة المحطة الطرفية (root: bash) بجوار موجه "kavrescue ~ #" ، اكتب "windowsunlocker" (بدون علامات اقتباس) وقم بتنشيط التوجيه باستخدام المفتاح "ENTER".

11. سيتم عرض قائمة الأدوات المساعدة. اضغط على "1" (فتح الويندوز).

12. بعد فتح القفل ، أغلق الجهاز.

13. الوصول إلى نظام التشغيل موجود بالفعل ، لكن الفيروس لا يزال مجانيًا. لتدميرها ، قم بما يلي:

• ربط الإنترنت
• قم بتشغيل اختصار "قرص الإنقاذ كاسبيرسكي" على سطح المكتب ؛
• تحديث قواعد بيانات توقيع مكافحة الفيروسات ؛
• حدد العناصر المراد فحصها (من المستحسن التحقق من جميع عناصر القائمة) ؛
• باستخدام زر الفأرة الأيسر ، قم بتنشيط وظيفة "إجراء فحص الكائن" ؛
• إذا تم الكشف عن فيروس رانسوم وير من الإجراءات المقترحة ، فحدد "حذف".

14. بعد العلاج ، في القائمة الرئيسية للقرص ، انقر فوق "إيقاف التشغيل". في وقت إعادة تشغيل نظام التشغيل ، انتقل إلى BIOS وقم بتعيين التمهيد من محرك الأقراص الثابتة (محرك الأقراص الثابتة). احفظ إعداداتك وقم بتشغيل Windows بشكل طبيعي.

Dr.Web Computer Unlock Service

هذه الطريقة هي محاولة إجبار winlocker على التدمير الذاتي. أي ، أعطه ما يطلبه - رمز إلغاء القفل. بطبيعة الحال ، ليس عليك إنفاق الأموال للحصول عليها.

1. انسخ رقم المحفظة أو الهاتف الذي تركه المهاجمون على اللافتة لشراء رمز إلغاء القفل.

2. قم بتسجيل الدخول من كمبيوتر "سليم" آخر إلى خدمة Dr.Web لإلغاء الحظر - drweb.com/xperf/unlocker/.

3. أدخل الرقم المعاد كتابته في الحقل وانقر على زر "رموز البحث". ستقوم الخدمة تلقائيًا بتحديد رمز إلغاء القفل وفقًا لطلبك.

4. إعادة كتابة / نسخ جميع الرموز المعروضة في نتائج البحث.

انتباه!إذا لم يكن هناك أي شيء في قاعدة البيانات ، فاستخدم توصية Dr.Web لإزالة winlocker بنفسك (اتبع الرابط المنشور أسفل الرسالة "للأسف ، بناءً على طلبك ...").

5. على الكمبيوتر المصاب ، أدخل رمز إلغاء القفل المقدم من خدمة Dr.Web في "واجهة" اللافتة.

6. في حالة التدمير الذاتي للفيروس ، قم بتحديث برنامج مكافحة الفيروسات وفحص جميع أقسام القرص الصلب.

تحذير!في بعض الأحيان لا تستجيب اللافتة لإدخال الرمز. في هذه الحالة ، تحتاج إلى استخدام طريقة أخرى للإزالة.

إزالة شعار MBR.Lock

يعد MBR.Lock أحد أخطر برامج Winlockers. يعدل بيانات ورمز سجل التمهيد الرئيسي للقرص الثابت. يبدأ العديد من المستخدمين ، الذين لا يعرفون كيفية إزالة هذا النوع من شعار برامج الفدية ، في إعادة تثبيت Windows ، على أمل أن "يتعافى" جهاز الكمبيوتر بعد هذا الإجراء. لكن ، للأسف ، لم يحدث هذا - يستمر الفيروس في حظر نظام التشغيل.

للتخلص من MBR.Lock ransomware ، اتبع هذه الخطوات (خيار Windows 7):
1. أدخل قرص تثبيت Windows (أي إصدار ، سيفعل التجميع).

2. أدخل BIOS للكمبيوتر (اكتشف مفتاح الاختصار لإدخال BIOS في الوصف الفني لجهاز الكمبيوتر الخاص بك). في إعداد جهاز التمهيد الأول ، اضبط "Cdrom" (التمهيد من محرك أقراص DVD).

3. بعد إعادة تشغيل النظام ، سيتم تشغيل قرص تثبيت Windows 7. حدد نوع النظام (32/64 بت) ولغة الواجهة وانقر فوق الزر "التالي".

4. في الجزء السفلي من الشاشة ، تحت خيار "تثبيت" ، انقر فوق "استعادة النظام".

5. في لوحة "خيارات استرداد النظام" ، اترك كل شيء كما هو وانقر على "التالي" مرة أخرى.

6. حدد خيار "سطر الأوامر" من قائمة الأدوات.

7. في موجه الأوامر ، أدخل الأمر - bootrec / fixmbr ، ثم اضغط على "Enter". ستقوم أداة النظام المساعدة بالكتابة فوق سجل التمهيد وبالتالي تدمير التعليمات البرمجية الضارة.

8. أغلق سطر الأوامر ، وانقر فوق "إعادة التشغيل".

9. افحص جهاز الكمبيوتر الخاص بك بحثًا عن الفيروسات باستخدام Dr.Web CureIt! أو أداة إزالة الفيروسات (كاسبيرسكي).

من الجدير بالذكر أن هناك طرقًا أخرى للتعامل مع الكمبيوتر من برنامج winlocker. كلما زاد عدد الأدوات التي تمتلكها في ترسانتك لمكافحة هذه العدوى ، كان ذلك أفضل. بشكل عام ، كما يقولون ، الله يحفظ الخزنة - لا تغري القدر: لا تذهب إلى مواقع مشكوك فيها ولا تقم بتثبيت برامج من جهات تصنيع غير معروفة.

بعد إعادة تشغيل الكمبيوتر ، هل تعرض الشاشة طلبًا لإرسال رسالة نصية مدفوعة ، أو وضع أموال في حساب هاتف محمول؟

تعرف على شكل فيروس رانسومواري النموذجي! يأخذ هذا الفيروس الآلاف من الأشكال المختلفة ومئات الأشكال. ومع ذلك ، من السهل التعرف عليه بإشارة بسيطة: يطلب منك وضع نقود (مكالمة) على رقم غير معروف ، وفي المقابل يعدك بإلغاء قفل جهاز الكمبيوتر الخاص بك.ما يجب القيام به؟

أولاً ، أدرك أن هذا فيروس ، والغرض منه هو امتصاص أكبر قدر ممكن من المال منك. لهذا لا تستسلم لاستفزازاته.

تذكر شيئًا بسيطًا ، لا ترسل أي رسائل SMS. سوف يسحبون جميع الأموال الموجودة في الميزانية العمومية (عادة ما يتم كتابة 200-300 روبل في المتطلب). في بعض الأحيان يطلبون منك إرسال رسالتين أو ثلاث رسائل نصية قصيرة أو أكثر. تذكر أن الفيروس لن ينتقل إلى أي مكان من الكمبيوتر ، سواء قمت بإرسال الأموال إلى المحتالين أم لا. سيبقى برنامج Trojan winloc على جهاز الكمبيوتر الخاص بك حتى تقوم بإزالته بنفسك.

خطة العمل على النحو التالي: 1. إزالة الكتلة من الكمبيوتر 2. إزالة الفيروس ومعالجة الكمبيوتر.

طرق لفتح جهاز الكمبيوتر الخاص بك:

1. أدخل رمز فتحو. الطريقة الأكثر شيوعًا للتعامل مع اللافتة الفاحشة. يمكنك العثور على الكود هنا: Dr.web، Kasperskiy، Nod32. لا تقلق إذا لم يعمل الرمز ، فانتقل إلى الخطوة التالية.

2. حاول التشغيل في الوضع الآمن. للقيام بذلك ، بعد تشغيل الكمبيوتر ، اضغط على F8. عندما تظهر نافذة خيارات التمهيد ، حدد "الوضع الآمن مع دعم السائق" وانتظر حتى يتم تمهيد النظام.

2 أ.الآن نحن نحاول استعادة النظام(Start-Accessories-Utilities-System Restore) إلى نقطة تفتيش سابقة. 2 ب. انشاء حساب جديد.انتقل إلى ابدأ - لوحة التحكم - الحسابات. أضف حسابًا جديدًا ، وأعد تشغيل الكمبيوتر. عند التمكين ، حدد الحساب الذي تم إنشاؤه حديثًا. لنذهب إلى .

3. جرب ctrl + alt + del- يجب أن يظهر مدير المهام. نطلق أدوات الشفاء من خلال مدير المهام. (حدد الملف - مهمة جديدة وبرامجنا). طريقة أخرى - اضغط باستمرار على Ctrl + Shift + Esc مع الاستمرار في الضغط على هذه المفاتيح ، وابحث عن جميع العمليات الغريبة وحذفها حتى يتم إلغاء قفل سطح المكتب.

4. الطريقة الأكثر موثوقية- هذا لتثبيت نظام التشغيل (نظام التشغيل) على نظام جديد. إذا كنت بحاجة بشكل أساسي إلى الاحتفاظ بنظام التشغيل القديم ، فسننظر في طريقة تستغرق وقتًا أطول للتعامل مع هذا الشعار. لكن ليس أقل فعالية!

طريقة أخرى (للمستخدمين المتقدمين):

5. التمهيد من القرص قرص مضغوط مباشرالذي يحتوي على محرر التسجيل. تم تمهيد النظام ، افتح محرر التسجيل. في ذلك ، سنرى سجل النظام الحالي والنظام المصاب (يتم عرض فروعه على الجانب الأيسر مع توقيع بين قوسين).

نجد المفتاح HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon - نحن نبحث عن Userinit هناك - نحذف كل شيء بعد الفاصلة. اهتمام! لا يمكن حذف الملف "C: \ Windows \ system32 \ userinit.exe".) ؛

انظر إلى قيمة المفتاح HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Shell ، يجب أن تكون explorer.exe. فعلت مع التسجيل.

إذا ظهر الخطأ "تم حظر تحرير السجل من قبل مسؤول النظام" ، فقم بتنزيل برنامج AVZ. افتح "ملف" - "استعادة النظام" - حدد العنصر "فتح محرر التسجيل" ، ثم انقر فوق "تنفيذ العمليات المحددة". المحرر عاد.

قم بتشغيل أداة إزالة Kaspersky و dr.web cureit وفحص النظام بأكمله باستخدامها. يبقى إعادة التشغيل وإرجاع إعدادات السير. ومع ذلك ، لم تتم إزالة الفيروس من الكمبيوتر بعد.

نتعامل مع جهاز كمبيوتر من Trojan WinLock

لهذا نحتاج:
- محرر التسجيل ReCleaner
- مضاد فيروسات مشهور إزالة أداة كاسبيرسكي
- برنامج مكافحة الفيروسات المعروف دكتور ويب شوريت
- مضاد فيروسات فعال Removeit pro
- أداة إصلاح السجل Plstfix
- برنامج لإزالة الملفات المؤقتة منظف ATF

1. من الضروري التخلص من الفيروس في النظام. للقيام بذلك ، قم بتشغيل محرر التسجيل. نذهب القائمة - المهام - قم بتشغيل محرر التسجيل. تحتاج لتجد:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon - نحن نبحث عن قسم Userinit هناك - نحذف كل شيء بعد الفاصلة. اهتمام! لا يمكن حذف الملف "C: \ Windows \ system32 \ userinit.exe".) ؛

انظر إلى قيمة المفتاح HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Shell يجب أن يكون هناك explorer.exe. فعلت مع التسجيل.

الآن حدد علامة التبويب "بدء التشغيل". ننظر في عناصر بدء التشغيل ، ونضع علامة في المربعات ونحذف (الزاوية اليمنى السفلية) كل شيء لم تقم بتثبيته ، تاركين فقط سطح المكتب و ctfmon.exe. يجب إزالة عمليات svchost.exe المتبقية وعمليات. exe الأخرى من دليل windows.
حدد المهمة - تنظيف السجل - استخدم جميع الخيارات. سيقوم البرنامج بفحص السجل بالكامل ، وحذف كل شيء نهائيًا.

2. للعثور على الكود نفسه ، نحتاج إلى الأدوات المساعدة التالية: Kaspersky و Dr.Web و RemoveIT. ملاحظة: سيطلب منك RemoveIT تحديث قواعد بيانات توقيع الفيروس. يجب إنشاء اتصال بالإنترنت أثناء التحديث!
باستخدام هذه البرامج ، نقوم بفحص قرص النظام وحذف كل ما يعثرون عليه. إذا كنت ترغب في ذلك ، يمكنك فقط في حالة فحص جميع أقراص الكمبيوتر. سيستغرق الأمر وقتًا أطول ، لكنه أكثر موثوقية.

3. الأداة التالية هي Plstfix. يعيد التسجيل بعد إجراءاتنا عليه. نتيجة لذلك ، سيبدأ مدير المهام والوضع الآمن في العمل مرة أخرى.

4. فقط في حالة حذف كافة الملفات المؤقتة. غالبًا ما يتم إخفاء نسخ الفيروس في هذه المجلدات. هذه هي الطريقة التي لا تستطيع حتى برامج مكافحة الفيروسات المعروفة اكتشافها. من الأفضل إزالة شيء لا يؤثر بشكل كبير على تشغيل النظام يدويًا. قم بتثبيت ATF Cleaner ، وقم بتمييز كل شيء وحذفه.

5. نحن نفرط في تحميل النظام. كل شيء يعمل! حتى أفضل من ذي قبل :).

Winlocker Trojans هي نوع من البرامج الضارة التي ، من خلال حظر الوصول إلى سطح المكتب ، تبتز الأموال من المستخدم - من المفترض أنه إذا قام بتحويل المبلغ المطلوب إلى حساب المهاجم ، فسوف يتلقى رمز إلغاء القفل.

إذا قمت بمجرد تشغيل الكمبيوتر الشخصي ، فسترى بدلاً من سطح المكتب:

أو أي شيء آخر بنفس الروح - مع نقوش مهددة ، وأحيانًا بصور فاحشة ، لا تتسرع في اتهام أحبائك بكل الذنوب.

هم ، وربما أنت نفسك ، وقعوا ضحية الابتزازين.

كيف تصل حاصرات برامج الفدية إلى جهاز الكمبيوتر؟

في أغلب الأحيان ، تحصل أدوات الحظر على الكمبيوتر بالطرق التالية:

• من خلال البرامج المخترقة ، فضلاً عن أدوات اختراق البرامج المدفوعة (الشقوق وأدوات إنشاء المفاتيح وما إلى ذلك) ؛
• تم تنزيله من روابط من رسائل في الشبكات الاجتماعية ، يُفترض أنها مرسلة من قبل معارفه ، ولكن في الواقع - عن طريق متسللين من صفحات تم اختراقها ؛
• تم تنزيله من موارد الويب الخادعة التي تحاكي المواقع المعروفة ، ولكنها في الواقع تم إنشاؤها خصيصًا لانتشار الفيروسات ؛
• تأتي عن طريق البريد الإلكتروني في شكل مرفقات مصاحبة لخطابات ذات محتوى مثير للاهتمام: "تمت مقاضاتك ..." ، "تم تصويرك في مسرح الجريمة" ، "لقد ربحت مليونًا" ، وما شابه.

انتباه! لا يتم دائمًا تنزيل اللافتات الإباحية من المواقع الإباحية. يمكن ومع أكثر العادية.

يتم توزيع نوع آخر من برامج الفدية بنفس الطريقة - أدوات حظر المتصفح. على سبيل المثال ، مثل هذا:

او مثل هذا:

يطالبون بالمال للوصول إلى تصفح الويب من خلال متصفح.

كيفية إزالة لافتة "الويندوز محجوب" وما شابه؟

عندما يكون سطح المكتب مقفلاً ، عندما يمنع شعار فيروس بدء تشغيل أي برامج على الكمبيوتر ، يمكنك القيام بما يلي:

• انتقل إلى الوضع الآمن مع دعم سطر الأوامر ، وابدأ تشغيل محرر التسجيل وحذف مفاتيح التشغيل التلقائي للراية.
• قم بالتمهيد من قرص مضغوط مباشر (قرص "مباشر") ، على سبيل المثال ، قائد ERD ، وقم بإزالة الشعار من الكمبيوتر من خلال التسجيل (مفاتيح التشغيل التلقائي) ومن خلال المستكشف (الملفات).
• قم بفحص النظام من قرص التمهيد باستخدام أحد برامج مكافحة الفيروسات ، مثل Dr.Web LiveDisk أو قرص الإنقاذ كاسبيرسكي 10.

الطريقة الأولى: إزالة winlocker من الوضع الآمن بدعم وحدة التحكم.

إذن ، كيف يمكن إزالة لافتة من جهاز كمبيوتر عبر سطر الأوامر؟

على الأجهزة التي تعمل بنظام Windows XP و 7 ، قبل بدء تشغيل النظام ، تحتاج إلى الضغط بسرعة على المفتاح F8 وتحديد العنصر المحدد من القائمة (في Windows 8 \ 8.1 لا توجد مثل هذه القائمة ، لذلك عليك التمهيد من قرص التثبيت وتشغيل سطر الأوامر من هناك).

بدلاً من سطح المكتب ، ستفتح وحدة التحكم أمامك. لبدء تشغيل محرر التسجيل ، أدخل الأمر فيه رجديتواضغط على Enter.

بعد ذلك ، افتح محرر التسجيل ، وابحث عن إدخالات الفيروسات فيه وقم بإصلاحه.

في أغلب الأحيان ، يتم تسجيل لافتات برامج الفدية في الأقسام:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon- هنا يغيرون قيم معلمات Shell و Userinit و Uihost (المعلمة الأخيرة موجودة فقط في Windows XP). تحتاج إلى إصلاحها إلى وضعها الطبيعي:

• شل = explorer.exe
• Userinit = C: \ WINDOWS \ system32 \ userinit.exe ، (C: هو حرف قسم النظام. إذا كان Windows على محرك الأقراص D ، فسيبدأ المسار إلى Userinit بالحرف D :)
• Uihost = LogonUI.exe

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows- انظر معلمة AppInit_DLLs. عادة ، قد تكون غائبة أو لها قيمة فارغة.

HKEY_CURRENT_USER \ البرمجيات \ مايكروسوفت \ ويندوز \ كرنتفرسون \ تشغيل- هنا يقوم برنامج الفدية بإنشاء معلمة جديدة بقيمة كمسار لملف أداة الحظر. يمكن أن يكون اسم المعلمة سلسلة من الأحرف ، مثل dkfjghk. يجب إزالته بالكامل.

الشيء نفسه ينطبق على الأقسام التالية:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx

لإصلاح مفاتيح التسجيل ، انقر بزر الماوس الأيمن فوق الإعداد ، وحدد تحرير ، وأدخل قيمة جديدة ، وانقر فوق موافق.

بعد ذلك ، أعد تشغيل الكمبيوتر في الوضع العادي وقم بإجراء فحص مضاد للفيروسات. سيؤدي ذلك إلى إزالة جميع ملفات رانسوم وير من محرك الأقراص الثابتة.

الطريقة الثانية: إزالة برنامج Winlocker باستخدام قائد ERD.

يحتوي قائد ERD على مجموعة كبيرة من الأدوات لاستعادة Windows ، بما في ذلك عندما يتضرر من قبل أحصنة طروادة.

باستخدام محرر التسجيل ERDregedit المدمج فيه ، يمكنك القيام بنفس العمليات التي وصفناها أعلاه.

سيكون قائد ERD لا غنى عنه إذا تم حظر Windows في جميع الأوضاع. يتم توزيع نسخ منه بشكل غير قانوني ، ولكن من السهل العثور عليها على الشبكة.

تسمى مجموعات قائد ERD لجميع إصدارات Windows بأقراص التمهيد MSDaRT (مجموعة أدوات التشخيص والاسترداد من Microsoft) ، وهي تأتي بتنسيق ISO ، وهو مناسب للنسخ على قرص DVD أو النقل إلى محرك أقراص فلاش USB.

بعد التمهيد من هذا القرص ، تحتاج إلى تحديد إصدار النظام الخاص بك ، وبالانتقال إلى القائمة ، انقر فوق محرر التسجيل.

في نظام التشغيل Windows XP ، يختلف الإجراء قليلاً - هنا تحتاج إلى فتح قائمة ابدأ (ابدأ) ، حدد أدوات إدارية ومحرر التسجيل.

بعد تحرير السجل ، قم بتشغيل Windows مرة أخرى - على الأرجح ، لن ترى شعار "الكمبيوتر مغلق".

الطريقة الثالثة: إزالة المانع باستخدام "قرص الإنقاذ" المضاد للفيروسات.

هذه هي أسهل طريقة لفتح القفل ولكنها أيضًا أطولها.

يكفي نسخ صورة Dr.Web LiveDisk أو Kaspersky Rescue Disk إلى قرص DVD ، والتمهيد منه ، والبدء في المسح والانتظار حتى النهاية. سوف يقتل الفيروس.

بنفس القدر من الفعالية ، إزالة اللافتات من جهاز كمبيوتر باستخدام أقراص Dr.Web و Kaspersky.