Spanduk itu keluar. Kami diperlakukan melalui Windows. Layanan Buka Kunci Komputer Dr.Web

Deskripsi masalah: ketika Anda membuka situs apa pun di browser muncul iklan. Spanduk viral pop-up mengaburkan konten dan halaman web dimuat dengan lambat. Mengklik tautan di browser membuka jendela dan tab dengan iklan. Artikel ini menjelaskan cara menghilangkan iklan di browser Google Chrome, Yandex, Opera, Mozilla, Internet Explorer.

Contoh jendela dengan spanduk pihak ketiga:

Dari mana asal iklan pihak ketiga di browser?

Mengapa antivirus tidak menghapus iklan dari browser?

Iklan spanduk bukanlah virus semata. Pengguna sendiri meluncurkan program yang membuat perubahan pada sistem, mengira bahwa dia telah mengunduh game atau sesuatu yang aman. Dan antivirus melihat bahwa file tersebut tidak diluncurkan dengan sendirinya, seperti halnya virus, tetapi diluncurkan oleh pengguna atas namanya sendiri.

Cara menghapus iklan di browser - instruksi efektif terperinci

1 Pergi ke Panel kendali dan pilih itemnya Program dan fitur. Tinjau dengan cermat daftar program yang diinstal. Hapus program yang tidak diinginkan berikut jika terdaftar:

Selain itu, utilitas pembersih browser Avast dapat membantu Anda:

3 Periksa pengaturan halaman awal Anda. Hapus halaman awal yang ditentukan oleh virus. (Petunjuk untuk Google Chrome: )

Perhatian! Alih-alih poin 2 dan 3, Anda bisa. Tetapi perhatikan bahwa dalam hal ini Anda akan menghapus semuanya aplikasi, ekstensi, pengaturan untuk mesin pencari dan halaman awal. Setelah reset, Anda harus mengonfigurasi browser dari awal.

6 Periksa perubahan pada pintasan browser. Paling sering, malware mengatur halaman awal di sana. Jika di lapangan Sebuah Objek menambahkan halaman awal tampilan http://nama-situs.ru , lalu untuk menghapus iklan di browser, hapus alamat situs dan simpan pintasan dengan tombol OK:

Jika Anda tidak dapat menyimpan pintasan, periksa di tab Umum tidak ada gagak Hanya membaca. Jika ya, hapus dan klik Menerapkan. Setelah itu pergi ke tab Label, hapus postscript dan simpan perubahan di label dengan tombol Oke.

Seringkali ada skrip tambahan untuk membuka situs (seringkali berbahaya) berikut:
(jangan coba-coba menempelkan baris-baris ini ke browser!)

mygooglee.ru
www.pribildoma.com
www.rugooglee.ru
halaman-manis.com
dengi-v-internete.net
delta-homes.com
v-inet.net
answertims.net
bisnis-ideia.net
newsray.ru
default-search.net

7. Instal CCleaner. Membersihkan:

• cache di semua browser;
• kue;
• membersihkan file sistem sementara;

8 Instal MalwareBytes AntiMalware. (Baca artikel kami tentang cara menghapus iklan, malware, dan virus dengannya: )
Perbarui basis.
Lakukan pemindaian sistem lengkap dan hapus semua virus yang ditemukan yang sering menjadi penyebab iklan pihak ketiga di Chrome, Firefox, Opera, dan browser lain di komputer dengan versi Windows apa pun:

Menghapus malware yang menyebabkan iklan di browser

9 Poin penting! Unduh AdwCleaner.dll. ()
Lakukan pemindaian sistem dan hapus malware yang ditemukan, lalu reboot. Dalam banyak kasus, program ini sendiri memungkinkan Anda untuk sepenuhnya menghapus iklan yang muncul di browser karena ekstensi yang tidak diinginkan:

Program kecil ini sangat sering membantu menghapus iklan di browser hanya dengan beberapa klik!

10 Jalankan pemeriksaan sistem dengan versi uji coba program HitmanPro. (Baca petunjuk rinci tentang mendaftar dan menggunakan program :). Utilitas yang kuat ini sering membantu menyingkirkan iklan, spanduk dan pop-up yang mengganggu yang tidak dapat ditangani oleh antivirus lain.

Jika langkah-langkah di atas tidak membantu, kemungkinan besar malware telah mengubah pengaturan browser di registri atau telah merusak sistem secara serius. Pindah ke item berikutnya.

Apa yang harus dilakukan jika tidak ada yang membantu menghapus iklan di browser

11 Anda harus menghapus semua browser dan membersihkan registri secara manual. Bagaimana cara melakukannya?

• Hapus browser Opera.
• Menyalakan ulang.
• Hapus folder C:\Program Files (x86)\Opera .
• Jalankan regedit, cari di registri untuk semua kunci yang berisi kata opera dan menghapusnya secara manual.
  Pada saat yang sama, Anda harus berhati-hati agar tidak secara tidak sengaja menghapus kunci yang berisi kata-kata serupa, misalnya, opera tion, opera ting
  
• Hapus browser Chrome, Firefox, dan yang lainnya.
• Menyalakan ulang.
• Hapus folder mereka dari File program dan File Program (x86).
• Cari nama browser di kunci dan nama kunci registri dan hapus.

Setelah mencopot semua browser:

• Mengerjakan ;
• Instal lagi browser favorit Anda dan lihat hasilnya.
• Jika tidak ada spanduk, instal browser lain jika Anda membutuhkannya.

Saya meminta partisipasi Anda dalam masalah saya. Pertanyaan saya adalah ini: Cara menghapus spanduk: "Kirim SMS", sistem operasi Windows 7. Omong-omong, sistem kedua di komputer Windows XP saya juga diblokir oleh spanduk sebulan yang lalu, begitulah saya calon pengguna. Saya tidak dapat masuk ke mode aman, tetapi saya berhasil masuk ke Pemecahan Masalah Komputer dan dari sana jalankan Pemulihan Sistem dan saya mendapat kesalahan - Tidak ada titik pemulihan pada drive sistem komputer ini.

Kode buka kunci di situs web Dr.Web, serta ESET, tidak dapat ditemukan. Baru-baru ini, spanduk seperti itu dihapus dari seorang teman menggunakan Disk Pemulihan Sistem LiveCD ESET NOD32, tetapi dalam kasus saya itu tidak membantu. Dr.Web LiveCD juga mencoba. Saya mengubah jam di BIOS maju selama setahun, spanduk tidak hilang. Di berbagai forum di Internet, disarankan untuk memperbaiki parameter UserInit dan Shell di cabang registri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Tapi bagaimana saya bisa sampai di sana? Dengan LiveCD? Hampir semua disk LiveCD tidak terhubung ke sistem operasi dan operasi seperti mengedit registri, melihat objek startup, serta log peristiwa dari disk tersebut tidak tersedia atau saya salah.

Secara umum, ada informasi tentang cara menghapus spanduk di Internet, tetapi pada dasarnya itu tidak lengkap dan menurut saya banyak orang menyalin informasi ini di suatu tempat dan mempublikasikannya di situs web mereka sehingga hanya itu, tetapi tanyakan kepada mereka bagaimana semuanya bekerja, angkat bahu. Saya pikir ini bukan kasus Anda, tetapi secara umum saya benar-benar ingin menemukan dan menghapus virus sendiri, saya lelah menginstal ulang sistem. Dan pertanyaan terakhir - apakah ada perbedaan mendasar dalam cara menghapus spanduk ransomware di sistem operasi Windows XP dan Windows 7. Bisakah Anda membantu? Sergey.

Cara menghapus spanduk

Ada beberapa cara untuk membantu Anda menyingkirkan virus, itu juga disebut Trojan.Winlock, tetapi jika Anda adalah pengguna pemula, semua metode ini akan mengharuskan Anda untuk bersabar, bertahan dan memahami bahwa musuh serius untuk Anda, jika Anda tidak takut, mari kita mulai.

• Artikelnya ternyata panjang, tetapi semuanya dikatakan benar-benar berfungsi baik di sistem operasi Windows 7 dan di Windows XP, jika ada perbedaan di suatu tempat, saya pasti akan menandai momen ini. Yang paling penting untuk diketahui hapus spanduk dan kembalikan sistem operasi - dengan cepat, itu tidak akan selalu berhasil, tetapi tidak ada gunanya menaruh uang di akun pemeras, Anda tidak akan menerima kode buka kunci respons apa pun, jadi ada insentif untuk memperjuangkan sistem Anda.
• Sobat, pada artikel kali ini kita akan bekerja dengan Recovery Environment Windows 7, atau lebih tepatnya dengan command line Recovery Environment. Saya akan memberi Anda perintah yang diperlukan, tetapi jika sulit bagi Anda untuk mengingatnya, Anda bisa. Ini akan sangat memudahkan pekerjaan Anda.

Mari kita mulai dengan yang paling sederhana dan selesaikan dengan yang paling rumit. Cara menghapus spanduk menggunakan mode aman. Jika penjelajahan Internet Anda berakhir dengan tidak berhasil dan Anda secara tidak sengaja memasang kode berbahaya untuk diri sendiri, maka Anda harus memulai dengan hal yang paling sederhana - coba masuk ke Safe Mode (sayangnya, dalam banyak kasus Anda tidak akan berhasil, tetapi patut dicoba), tetapi Anda pasti bisa masuk(lebih mungkin), Anda perlu melakukan hal yang sama di kedua mode, mari kita lihat kedua opsi.

Pada tahap awal loading komputer, tekan F-8, lalu pilih, jika berhasil masuk, maka bisa dikatakan Anda sangat beruntung dan tugas disederhanakan untuk Anda. Hal pertama yang harus dicoba adalah melakukan rollback menggunakan restore point ke beberapa waktu lalu. Siapa yang tidak tahu cara menggunakan pemulihan sistem, baca detailnya di sini -. Jika Pemulihan Sistem tidak berfungsi, coba yang lain.

Ketik msconfig di kotak Jalankan,

Anda juga seharusnya tidak memiliki apa pun di folder, . Atau terletak di

C:\Users\Username\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Catatan penting: Teman-teman, dalam artikel ini Anda harus berurusan terutama dengan folder yang memiliki atribut Tersembunyi (misalnya, AppData, dll.), Oleh karena itu, segera setelah Anda masuk ke Mode aman atau Mode aman dengan dukungan baris perintah, segera nyalakan sistem tampilkan file dan folder tersembunyi, jika tidak, Anda tidak akan melihat folder yang diperlukan tempat virus bersembunyi. Sangat mudah untuk melakukan ini.

Windows XP
Buka folder apa saja dan klik menu " Alat", pilih " Opsi Folder", lalu buka tab " Lihat" Selanjutnya, di bagian paling bawah, centang item "" dan klik OK

Windows 7
Mulai -> Panel kendali-> Lihat: Kategori -Ikon Kecil -> Opsi Folder -> Lihat. Di bagian paling bawah, centang kotak " Tampilkan file dan folder tersembunyi».

Jadi kembali ke artikel. Kami melihat folder, Anda seharusnya tidak memiliki apa pun di dalamnya.

Pastikan tidak ada folder dan file yang tidak dikenal dan mencurigakan di root drive (C :), misalnya, dengan nama yang tidak dapat dipahami OYSQFGVXZ.exe, jika ada, mereka harus dihapus.

Sekarang perhatikan: Di Windows XP, kami menghapus file yang mencurigakan (contohnya terlihat di atas pada tangkapan layar) dengan nama aneh dan

dengan ekstensi .exe dari folder

C:\
C:\Documents and Settings\Username\Application Data
C:\Documents and Settings\Username\Local Settings
C:\Documents and Settings\Username\Local Settings\Temp- hapus semuanya dari sini, ini adalah folder file sementara.

Windows 7 memiliki tingkat keamanan yang baik dan dalam banyak kasus tidak akan mengizinkan malware untuk membuat perubahan pada registri, dan sebagian besar virus juga cenderung masuk ke direktori file sementara:
C:\USERS\namapengguna\AppData\Local\Temp, dari sini Anda dapat menjalankan file.exe yang dapat dieksekusi. Misalnya, saya mengutip komputer yang terinfeksi, pada tangkapan layar kita melihat file virus 24kkk290347.exe dan grup file lain yang dibuat oleh sistem hampir bersamaan dengan virus, semuanya perlu dihapus.

Seharusnya tidak ada yang mencurigakan di dalamnya, jika ada, kami menghapusnya.

Dan pastikan untuk:

Dalam kebanyakan kasus, langkah-langkah di atas akan menghapus spanduk dan mem-boot sistem secara normal. Setelah boot normal periksa seluruh komputer Anda dengan pemindai anti-virus gratis dengan pembaruan terbaru - Dr.Web CureIt, unduh dari situs web Dr.Web.

• Catatan: Anda dapat segera menginfeksi sistem yang biasanya di-boot dengan virus lagi dengan online, karena browser akan membuka semua halaman situs yang baru saja Anda kunjungi, di antaranya secara alami akan ada situs virus, serta file virus mungkin ada di folder sementara browser. Kami menemukan dan, yang Anda gunakan baru-baru ini di: C:\Users\Username\AppData\Roaming\Nama Browser, (Opera atau Mozilla misalnya) dan di satu tempat lagi C:\Users\Username\AppData\Local\Nama browser Anda, di mana (C:) adalah partisi dengan sistem operasi yang diinstal. Tentu saja, setelah tindakan ini, semua bookmark Anda akan hilang, tetapi risiko terinfeksi lagi berkurang secara signifikan.

Mode aman dengan dukungan baris perintah.

Jika setelah semua ini spanduk Anda masih hidup, jangan menyerah dan baca terus. Atau setidaknya buka bagian tengah artikel dan baca informasi lengkap tentang memperbaiki pengaturan registri jika terjadi infeksi spanduk ransomware.

Apa yang harus saya lakukan jika saya tidak bisa masuk ke mode aman? Mencoba Mode aman dengan dukungan baris perintah, di sana kita melakukan hal yang sama, tapi ada perbedaan pada perintah Windows XP dan Windows 7.

Terapkan Pemulihan Sistem.
Di Windows 7, masukkan rstrui.exe dan tekan Enter - kita masuk ke jendela System Restore.

Atau coba ketik perintah: explorer - semacam desktop akan boot, di mana Anda dapat membuka komputer saya dan melakukan hal yang sama seperti dalam mode aman - periksa komputer apakah ada virus, lihat folder Startup dan root disk (C: ), serta direktori file sementara: edit registri sesuai kebutuhan, dan seterusnya.

Untuk masuk ke Pemulihan Sistem Windows XP, pada baris perintah, ketik- %systemroot%\system32\restore\rstrui.exe,

untuk masuk ke windows XP di explorer dan di jendela My Computer, seperti pada ketujuh, kita ketik perintah explorer.

di sini Anda harus mengetikkan perintah explorer terlebih dahulu dan Anda akan langsung dibawa ke desktop. Banyak orang tidak dapat mengubah tata letak keyboard Rusia default ke bahasa Inggris pada baris perintah menggunakan kombinasi alt-shift, lalu coba shift-alt sebaliknya.

Sudah disini masuk ke menu Start, lalu Run.

lalu pilih Startup - hapus semuanya darinya, lalu lakukan semua yang Anda lakukan di dan root disk (C :), hapus virus dari direktori file sementara: C:\USERS\namapengguna\AppData\Local\Temp, edit registri sesuai kebutuhan ( semua detail dijelaskan di atas.).

Pemulihan Sistem. Hal-hal akan sedikit berbeda bagi kami jika Anda tidak dapat masuk ke Safe Mode dan Safe Mode dengan dukungan baris perintah. Apakah ini berarti Anda dan saya tidak dapat menggunakan pemulihan sistem? Tidak, itu tidak berarti bahwa dimungkinkan untuk memutar kembali menggunakan titik pemulihan, bahkan jika sistem operasi Anda tidak bisa boot dalam mode apa pun. Di Windows 7, Anda perlu menggunakan lingkungan pemulihan, pada fase awal mem-boot komputer, tekan F-8 dan pilih dari menu Memecahkan masalah komputer Anda,

Di jendela Opsi Pemulihan, pilih Pemulihan Sistem lagi,

Sekarang perhatikan, jika saat Anda menekan F-8 menu Penyelesaian masalah tidak tersedia, maka Anda memiliki file rusak yang berisi Lingkungan Pemulihan Windows 7.

• Apakah mungkin melakukannya tanpa Live CD? Prinsipnya ya, baca artikelnya sampai habis.

Sekarang mari kita pikirkan tentang bagaimana kita akan bertindak jika Pemulihan Sistem tidak dapat dimulai dengan cara apa pun atau telah dinonaktifkan sepenuhnya. Pertama, mari kita lihat cara menghapus spanduk menggunakan kode buka kunci, yang disediakan oleh perusahaan perangkat lunak anti-virus Dr.Web, serta ESET NOD32 dan Kaspersky Lab, dalam hal ini, Anda akan memerlukan bantuan teman-teman. Perlu salah satu dari mereka pergi ke layanan buka kunci, misalnya Dr.Web

https://www.drweb.com/xperf/unlocker/

http://www.esetnod32.ru/.support/winlock/

serta Kaspersky Lab

http://sms.kaspersky.ru/ dan masukkan di bidang ini nomor telepon yang Anda perlukan untuk mentransfer uang untuk membuka kunci komputer dan mengklik tombol - Cari kode. Jika kode buka kunci ditemukan, masukkan ke dalam jendela spanduk dan klik Aktivasi atau apa pun yang Anda tulis di sana, spanduk itu akan hilang.

Cara mudah lain untuk menghapus spanduk adalah menggunakan disk pemulihan atau, demikian juga disebut, menyelamatkan dari dan. Seluruh proses mulai dari mengunduh, membakar gambar ke CD kosong dan memeriksa komputer Anda dari virus dijelaskan secara rinci dalam artikel kami, Anda dapat mengikuti tautannya, kami tidak akan memikirkan hal ini. Omong-omong, disk penyelamat dari perusahaan anti-virus sama sekali tidak buruk, mereka dapat digunakan seperti LiveCD - melakukan berbagai operasi file, misalnya, menyalin data pribadi dari sistem yang terinfeksi atau menjalankan Dr.Web CureIt, utilitas penyembuhan dari flashdisk USB. Dan di disk penyelamat ESET NOD32 ada hal luar biasa yang telah membantu saya lebih dari sekali - Userinit_fix , yang memperbaiki pengaturan registri penting pada komputer yang terinfeksi spanduk - Userinit, cabang HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon .

Cara memperbaiki semua ini secara manual, baca terus.
Nah, teman-teman, jika orang lain membaca artikel lebih lanjut, maka saya sangat senang melihat Anda, hal yang paling menarik akan dimulai sekarang, jika Anda berhasil mengasimilasi dan terlebih lagi menerapkan informasi ini dalam praktik, banyak orang biasa yang Anda bebas dari panji pemeras akan cukup menganggap Anda sebagai hacker sejati.

Jangan menipu diri sendiri, secara pribadi, semua yang dijelaskan di atas membantu saya dalam setengah kasus pemblokiran komputer dengan pemblokir virus - Trojan.Winlock. Setengah lainnya membutuhkan pertimbangan yang lebih hati-hati tentang masalah yang akan kita tangani.
Bahkan, memblokir sistem operasi Anda, bagaimanapun Windows 7 atau Windows XP, virus membuat perubahan sendiri pada registri, serta folder Temp yang berisi file sementara dan folder C:\Windows->system32. Kita harus memperbaiki perubahan ini. Jangan lupa tentang folder Start->All Programs->Startup juga. Sekarang tentang semua ini secara rinci.

• Luangkan waktu teman-teman, pertama saya akan menjelaskan persis di mana tepatnya apa yang perlu diperbaiki berada, dan kemudian saya akan menunjukkan bagaimana dan dengan alat apa.

Di Windows 7 dan Windows XP, spanduk ransomware memengaruhi pengaturan UserInit dan Shell yang sama di registri di

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Idealnya mereka harus seperti ini:
Userinit - C:\Windows\system32\userinit.exe,
Shell-explorer.exe

Periksa semuanya ejaan demi huruf, terkadang alih-alih userinit muncul, misalnya, usernit atau userlnlt.
Anda juga perlu memeriksa parameter AppInit_DLLs di cabang registri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, jika Anda menemukan sesuatu di sana, misalnya C:\WINDOWS\SISTEM32\uvf.dll, semua ini harus dihapus.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce seharusnya tidak ada yang mencurigakan tentang mereka.

Dan pastikan untuk:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (harus kosong) dan secara umum seharusnya tidak ada yang berlebihan di sini juga. ParseAutoexec harus sama dengan 1 .

Anda juga perlu menghapus SEMUANYA dari folder sementara (ada juga artikel tentang topik ini), tetapi di Windows 7 dan di Windows XP lokasinya sedikit berbeda:

Windows 7:
C:\Users\Username\AppData\Local\Temp. Virus terutama suka menetap di sini.
C:\Windows\Temp
C:\Windows\
Windows XP:
C:\Documents and Settings\User Profile\Local Settings\Temp
C:\Documents and Settings\User Profile\Local Settings\Temporary Internet Files.
C:\Windows\Temp
C:\Windows\Prefetch
Tidak akan berlebihan untuk melihat folder C:\Windows->system32 di kedua sistem, semua file yang diakhiri dengan .exe dan dll dengan tanggal pada hari komputer Anda terinfeksi spanduk. File-file ini perlu dihapus.

Dan sekarang lihat bagaimana seorang pemula dan kemudian pengguna yang berpengalaman akan melakukan semua ini. Mari kita mulai dengan Windows 7 dan kemudian beralih ke XP.

Bagaimana cara menghapus spanduk di Windows 7 jika Pemulihan Sistem dinonaktifkan?

Bayangkan skenario terburuk. Login Windows 7 diblokir oleh spanduk ransomware. Pemulihan Sistem dinonaktifkan. Cara termudah adalah masuk ke sistem Windows 7 menggunakan disk pemulihan sederhana (Anda dapat melakukannya langsung di sistem operasi Windows 7 - dijelaskan secara rinci dalam artikel kami), Anda juga dapat menggunakan disk instalasi Windows 7 sederhana atau salah satu dari LiveCD paling sederhana. Boot ke lingkungan pemulihan, pilih Pemulihan Sistem, lalu pilih baris perintah

dan kita ketik -notepad, kita masuk ke Notepad, lalu File dan Open.

Kami masuk ke penjelajah nyata, klik Komputer saya.

Kita masuk ke folder C:\Windows\System32\Config , disini kita tentukan jenis File - Semua file dan kita melihat file registry kita, kita juga melihat folder RegBack,

di dalamnya setiap 10 hari Penjadwal Tugas membuat salinan cadangan dari kunci registri - bahkan jika Anda menonaktifkan Pemulihan Sistem. Yang dapat dilakukan di sini adalah menghapus file SOFTWARE dari folder C:\Windows\System32\Config, yang bertanggung jawab atas kumpulan registri HKEY_LOCAL_MACHINE\SOFTWARE, paling sering virus membuat perubahannya di sini.

Dan sebagai gantinya, copy paste file dengan nama SOFTWARE yang sama dari copy backup folder RegBack.

Dalam kebanyakan kasus, ini sudah cukup, tetapi jika Anda mau, Anda dapat mengganti kelima kumpulan registri dari folder RegBack di folder Config: SAM , SECURITY , SOFTWARE , DEFAULT , SYSTEM .

Selanjutnya, kita lakukan semuanya seperti yang tertulis di atas - hapus file dari folder sementara Temp, lihat folder C:\Windows->system32 untuk file dengan ekstensi .exe dan dll dengan tanggal pada hari infeksi, dan tentu saja terlihat pada isi folder Startup.

Di Windows 7 terletak:

C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Windows XP:

C:\Documents and Settings\ All Users\Main Menu\Programs\Startup.

• Bagaimana cara pengguna berpengalaman melakukan hal yang sama, apakah menurut Anda mereka menggunakan LiveCD sederhana atau disk pemulihan Windows 7? Jauh dari teman, mereka menggunakan alat yang sangat profesional - Versi Microsoft Diagnostic and Recovery Toolset (DaRT): 6.5 untuk Windows 7- ini adalah kumpulan utilitas profesional yang terletak di disk dan dibutuhkan oleh administrator sistem untuk memulihkan pengaturan sistem operasi yang penting dengan cepat. Jika Anda tertarik dengan alat ini, baca artikel kami.

Omong-omong, itu dapat terhubung dengan sempurna ke sistem operasi Windows 7. Dengan mem-boot komputer Anda dari Microsoft Recovery Disk (DaRT), Anda dapat mengedit registri, menetapkan ulang kata sandi, menghapus dan menyalin file, menggunakan Pemulihan Sistem, dan banyak lagi. Tentu saja, tidak semua LiveCD memiliki fitur seperti itu.
Kami mem-boot komputer kami dari ini, seperti yang juga disebut, disk resusitasi Microsoft (DaRT), Inisialisasi koneksi jaringan di latar belakang, jika kami tidak memerlukan Internet, kami menolak.

Tetapkan huruf drive dengan cara yang sama seperti pada sistem target - katakan Ya, lebih mudah untuk bekerja dengan cara ini.

Saya tidak akan menjelaskan semua alat, karena ini adalah topik untuk artikel besar dan saya sedang mempersiapkannya.
Mari kita ambil alat Editor Registri pertama, alat yang memungkinkan Anda bekerja dengan registri sistem operasi Windows 7 yang terhubung.

Kami pergi ke parameter Winlogon dari cabang HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon dan cukup edit file secara manual - Userinit dan Shell . Betapa pentingnya mereka, Anda sudah tahu.

Userinit - C:\Windows\system32\userinit.exe,
Shell-explorer.exe

Dalam kasus kami, Anda perlu membersihkan folder sementara Temp dari semuanya, berapa banyak dan di mana mereka berada di Windows 7, Anda sudah tahu dari tengah artikel.
Tapi perhatian! Karena Microsoft Diagnostic and Recovery Toolset sepenuhnya terhubung ke sistem operasi Anda, Anda tidak akan dapat menghapus, misalnya, file registri -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, karena sedang dalam proses, tetapi harap lakukan perubahan.

Cara menghapus spanduk di Windows XP

Sekali lagi, intinya ada di toolnya, saya sarankan menggunakan ERD Commander 5.0 (link ke artikel di atas), seperti yang saya katakan di awal artikel, itu dirancang khusus untuk menyelesaikan masalah seperti itu di Windows XP. ERD Commander 5.0 akan memungkinkan Anda untuk terhubung langsung ke sistem operasi dan melakukan semua yang kami lakukan dengan Microsoft Diagnostic and Recovery Toolset di Windows 7.
Kami mem-boot komputer kami dari disk pemulihan. Pilih opsi pertama untuk terhubung ke sistem operasi yang terinfeksi.

Pilih registri.

Kami melihat parameter UserInit dan Shell di cabang HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Seperti yang saya katakan di atas, mereka harus memiliki nilai seperti itu.
Userinit - C:\Windows\system32\userinit.exe,
Shell-explorer.exe

Kami juga melihat HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs - itu harus kosong.

Selanjutnya, buka explorer dan hapus semuanya dari folder sementara Temp.
Bagaimana lagi Anda bisa menghapus spanduk di Windows XP menggunakan ERD Commander (omong-omong, metode ini berlaku untuk semua Live CD). Anda dapat mencoba melakukan ini bahkan tanpa terhubung ke sistem operasi. Unduh ERD Commander dan bekerja tanpa terhubung ke Windows XP,

dalam mode ini, kami akan dapat menghapus dan mengganti file registri, karena mereka tidak akan terlibat dalam pekerjaan. Pilih Penjelajah.

Berkas registri di sistem operasi Windows XP terletak di folder C:\Windows\System32\Config. Dan salinan cadangan file registri yang dibuat selama instalasi Windows XP berada di folder perbaikan yang terletak di C:\Windows\repair .

Kami melakukan hal yang sama, salin file SOFTWARE terlebih dahulu,

dan kemudian Anda juga dapat menyimpan file registri lainnya - SAM , SECURITY , DEFAULT , SYSTEM secara bergantian dari folder perbaikan dan menggantinya dengan yang sama di folder C:\Windows\System32\Config. Ganti berkas? Kami setuju - Ya.

Saya ingin mengatakan bahwa dalam banyak kasus cukup mengganti satu file PERANGKAT LUNAK. Dengan mengganti file registri dari folder perbaikan, ada peluang bagus untuk mem-boot sistem, tetapi sebagian besar perubahan yang Anda buat setelah menginstal Windows XP akan hilang. Pertimbangkan apakah metode ini tepat untuk Anda. Jangan lupa untuk menghapus semua yang tidak dikenal dari startup. Pada prinsipnya, klien MSN Messenger tidak boleh dihapus jika Anda membutuhkannya.

Dan cara terakhir hari ini untuk menyingkirkan spanduk ransomware menggunakan disk ERD Commander atau Live CD apa pun

Jika Anda mengaktifkan Pemulihan Sistem di Windows XP, tetapi Anda tidak dapat menerapkannya, Anda dapat mencoba melakukannya. Kami pergi ke folder C:\Windows\System32\Config yang berisi file registri.

Buka nama file lengkap dengan slider dan hapus SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM. Omong-omong, sebelum menghapusnya, Anda dapat menyalinnya di suatu tempat untuk berjaga-jaga, Anda tidak pernah tahu apa. Mungkin Anda ingin bermain kembali.

Selanjutnya, pergi ke folder Informasi Volume Sistem\_restore(E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2)\RP\ snapshot , di sini kami menyalin file yang merupakan salinan cadangan dari cabang registri kami HKEY_LOCAL_MACHINE\
REGISTER_MACHINE\SAM
REGISTRY_MACHINE\SECURITY
REGISTRY_MACHINE\SOFTWARE
REGISTER_MACHINE\DEFAULT
REGISTER_MACHINE\SYSTEM

Tempelkan ke folder C:\Windows\System32\Config

Lalu kami pergi ke folder Config dan mengganti namanya, menghapus REGISTRY_MACHINE \, sehingga meninggalkan file registri baru SAM , SECURITY , SOFTWARE , DEFAULT , SYSTEM .

Kemudian kita hapus isi folder Temp dan Prefetch, hapus semuanya dari folder Startup seperti gambar di atas. Saya akan senang jika seseorang membantu. Selain artikel, yang kecil dan menarik ditulis, Anda dapat membacanya.

dari desktop Windows. Anda mungkin sudah tahu seperti apa banner di desktop, karena Anda tertarik dengan artikel ini. Masalah ini ada dan sudah ada sejak lama. Dengan cara yang begitu bersahaja, beberapa individu yang tidak cukup sadar mendapatkan makanan harian mereka dan merusak saraf pemilik komputer pribadi yang bahagia.

Apa itu spanduk desktop?

Spanduknya adalah Program jahat yang memblokir Windows dan menampilkan modul adware dengan berbagai persyaratan:

• kirim sms ke nomor pendek
• transfer dana ke dompet
• isi ulang akun telepon yang ditentukan
• lakukan pembayaran melalui terminal

Temui spanduk berbagai warna dan konten, tetapi semuanya sebagian atau seluruhnya memblokir kontrol sistem operasi Windows, merampas fungsi tertentu dari pemilik komputer, dan membutuhkan uang untuk membuka kunci dan kembali ke keadaan semula.

Winlocker (Trojan.Winlock)- virus komputer yang memblokir akses ke Windows. Setelah infeksi, ia meminta pengguna untuk mengirim SMS untuk menerima kode yang memulihkan kinerja komputer. Ini memiliki banyak modifikasi perangkat lunak: dari yang paling sederhana - "diperkenalkan" dalam bentuk add-on, hingga yang paling kompleks - memodifikasi sektor boot hard drive.

Sebuah peringatan! Jika komputer Anda dikunci oleh winlocker, dalam keadaan apa pun Anda tidak boleh mengirim SMS atau mentransfer uang untuk menerima kode buka kunci OS. Tidak ada jaminan bahwa itu akan dikirimkan kepada Anda. Dan jika ini terjadi, ketahuilah bahwa Anda akan memberikan uang hasil jerih payah Anda secara cuma-cuma kepada penyerang. Jangan tertipu trik! Satu-satunya solusi yang tepat dalam situasi ini adalah menghapus virus ransomware dari komputer.

Penghapusan sendiri spanduk ransomware

Metode ini berlaku untuk winlocker yang tidak memblokir boot OS dalam mode aman, editor registri, dan baris perintah. Prinsip operasinya didasarkan pada penggunaan utilitas sistem saja (tanpa menggunakan program anti-virus).

1. Saat Anda melihat spanduk berbahaya di monitor Anda, matikan dulu koneksi Internet Anda.

2. Reboot OS dalam mode aman:

• pada saat sistem reboot, tahan tombol "F8" hingga menu "Opsi boot tambahan" muncul di monitor;
• gunakan panah kursor untuk memilih "Mode Aman dengan Dukungan Baris Perintah" dan tekan "Enter".

Perhatian! Jika PC menolak untuk boot ke mode aman atau baris perintah / utilitas sistem tidak memulai, coba lepaskan winlocker dengan cara lain (lihat di bawah).

3. Pada baris perintah, ketik perintah - msconfig, lalu tekan "ENTER".

4. Panel Konfigurasi Sistem akan muncul di layar. Buka tab "Startup" di dalamnya dan tinjau dengan cermat daftar elemen untuk keberadaan winlocker. Biasanya, namanya mengandung kombinasi alfanumerik yang tidak berarti ("mc.exe", "3dec23ghfdsk34.exe", dll.) Nonaktifkan semua file yang mencurigakan dan ingat/tulis namanya.

5. Tutup panel dan pergi ke baris perintah.

6. Ketik perintah "regedit" (tanpa tanda kutip) + "ENTER". Setelah aktivasi, Windows Registry Editor akan terbuka.

7. Di bagian "Edit" pada menu editor, klik "Temukan ...". Tulis nama dan ekstensi winlocker yang ada di autoload. Mulai pencarian dengan tombol "Temukan berikutnya ...". Semua entri dengan nama virus harus dihapus. Lanjutkan pemindaian dengan tombol "F3" hingga semua partisi telah dipindai.

8. Segera, di editor, bergerak di sepanjang kolom kiri, lihat direktori:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon.

Entri "shell" harus "explorer.exe"; entri "Userinit" adalah "C:\Windows\system32\userinit.exe,".

Jika tidak, jika modifikasi berbahaya terdeteksi, gunakan fungsi "Perbaiki" (tombol kanan mouse - menu konteks) untuk mengatur nilai yang benar.

9. Tutup editor dan kembali ke baris perintah.

10. Sekarang Anda perlu menghapus spanduk dari desktop. Untuk melakukan ini, masukkan perintah "explorer" di baris (tanpa tanda kutip). Ketika shell Windows muncul, hapus semua file dan pintasan dengan nama yang tidak biasa (yang tidak Anda instal di sistem). Kemungkinan besar, salah satunya adalah spanduk.

11. Restart Windows dalam mode normal dan pastikan Anda berhasil menghapus malware:

• jika spanduk telah hilang - sambungkan ke Internet, perbarui basis data antivirus yang diinstal atau gunakan produk antivirus alternatif dan pindai semua bagian hard drive;
• jika spanduk terus memblokir OS, gunakan metode penghapusan lain. Ada kemungkinan PC Anda terkena winlocker, yang "diperbaiki" di sistem dengan cara yang sedikit berbeda.

Penghapusan menggunakan utilitas antivirus

Untuk mengunduh utilitas yang menghapus winlocker dan membakarnya ke disk, Anda memerlukan komputer atau laptop lain yang tidak terinfeksi. Minta tetangga, teman atau teman untuk menggunakan PC-nya selama satu atau dua jam. Persediaan pada 3-4 disk kosong (CD-R atau DVD-R).

Nasihat! Jika Anda membaca artikel ini untuk tujuan informasi dan komputer Anda, terima kasih Tuhan, masih hidup dan sehat, masih mengunduh utilitas penyembuhan yang dibahas dalam artikel ini dan menyimpannya di disk atau USB flash drive. "Peralatan P3K" yang disiapkan menggandakan peluang Anda untuk mengalahkan spanduk viral! Cepat dan tanpa kekhawatiran yang tidak perlu.

1. Buka situs web resmi pengembang utilitas - antiwinlocker.ru.

2. Pada halaman utama, klik tombol AntiWinLockerLiveCd.

3. Daftar tautan untuk mengunduh distribusi program akan terbuka di tab browser baru. Di kolom "Gambar disk untuk merawat sistem yang terinfeksi", ikuti tautan "Unduh gambar AntiWinLockerLiveCd" dengan nomor versi yang lebih lama (lebih baru) (misalnya, 4.1.3).

4. Unduh gambar ISO ke komputer Anda.

5. Bakar ke DVD-R/CD-R menggunakan ImgBurn atau Nero menggunakan fungsi "Burn disc image". Gambar ISO harus ditulis dalam bentuk yang belum dibongkar untuk mendapatkan disk yang dapat di-boot.

6. Masukkan disk dengan AntiWinLocker ke PC tempat spanduk merajalela. Restart OS dan masuk ke BIOS (cari tahu hotkey untuk masuk dalam kaitannya dengan komputer Anda; pilihannya adalah "Del", "F7"). Instal boot bukan dari hard drive (partisi sistem C), tetapi dari drive DVD.

7. Nyalakan kembali PC Anda. Jika Anda melakukan semuanya dengan benar - membakar gambar dengan benar ke disk, mengubah pengaturan boot di BIOS - menu utilitas AntiWinLockerLiveCd akan muncul di monitor.

8. Untuk menghapus virus ransomware secara otomatis dari komputer Anda, klik tombol "MULAI". Dan itu saja! Tidak ada tindakan lain yang diperlukan - penghancuran dalam satu klik.

9. Di akhir prosedur penghapusan, utilitas akan memberikan laporan tentang pekerjaan yang dilakukan (layanan dan file mana yang diblokir dan disembuhkan).

10. Tutup utilitas. Saat Anda mem-boot ulang sistem, kembali ke BIOS dan tentukan boot dari hard drive. Mulai OS dalam mode normal, periksa kinerjanya.

Pembuka Windows (Kaspersky Lab)

1. Buka halaman sms.kaspersky.ru (situs resmi Kaspersky Lab) di browser Anda.

2. Klik tombol "Unduh WindowsUnlocker" (terletak di bawah tulisan "Cara menghapus spanduk").

3. Tunggu hingga gambar boot disk Kaspersky Rescue Disk dengan utilitas WindowsUnlocker diunduh ke komputer.

4. Bakar citra ISO dengan cara yang sama seperti utilitas AntiWinLockerLiveCd - buat disk yang dapat di-boot.

5. Atur BIOS dari PC yang terkunci untuk boot dari drive DVD. Masukkan Kaspersky Rescue Disk LiveCD dan reboot sistem.

6. Untuk meluncurkan utilitas, tekan sembarang tombol, lalu gunakan panah kursor untuk memilih bahasa antarmuka ("Rusia") dan tekan "ENTER".

7. Baca ketentuan perjanjian dan tekan tombol "1" (saya setuju).

8. Saat desktop Kaspersky Rescue Disk muncul di layar, klik ikon paling kiri di bilah tugas (huruf "K" dengan latar belakang biru) untuk membuka menu disk.

9. Pilih "Terminal".

10. Di jendela terminal (root:bash) di sebelah prompt "kavrescue ~ #", ketik "windowsunlocker" (tanpa tanda kutip) dan aktifkan arahan dengan tombol "ENTER".

11. Menu utilitas akan ditampilkan. Tekan "1" (Buka Kunci Windows).

12. Setelah membuka kunci, tutup terminal.

13. Akses ke OS sudah ada, tapi virusnya masih gratis. Untuk menghancurkannya, lakukan hal berikut:

• menghubungkan internet;
• luncurkan pintasan "Kaspersky Rescue Disk" di desktop;
• memperbarui basis data tanda tangan antivirus;
• pilih objek yang akan diperiksa (diinginkan untuk memeriksa semua elemen daftar);
• dengan tombol kiri mouse, aktifkan fungsi "Lakukan pemeriksaan objek";
• jika virus ransomware terdeteksi dari tindakan yang disarankan, pilih "Hapus".

14. Setelah perawatan, di menu utama disk, klik "Matikan". Pada saat me-restart OS, masuk ke BIOS dan atur boot dari HDD (hard drive). Simpan pengaturan Anda dan boot Windows secara normal.

Layanan Buka Kunci Komputer Dr.Web

Metode ini mencoba memaksa winlocker untuk menghancurkan diri sendiri. Artinya, berikan apa yang dia butuhkan - kode buka kunci. Tentu saja, Anda tidak perlu mengeluarkan uang untuk mendapatkannya.

1. Salin dompet atau nomor telepon yang ditinggalkan penyerang di spanduk untuk membeli kode buka kunci.

2. Masuk dari komputer "sehat" lain ke layanan membuka blokir Dr.Web - drweb.com/xperf/unlocker/.

3. Masukkan nomor yang ditulis ulang di bidang dan klik tombol "Cari Kode". Layanan akan secara otomatis memilih kode buka kunci sesuai permintaan Anda.

4. Tulis ulang/salin semua kode yang ditampilkan di hasil pencarian.

Perhatian! Jika tidak ada di database, gunakan rekomendasi Dr.Web untuk menghapus sendiri winlocker (ikuti tautan yang diposting di bawah pesan "Sayangnya, atas permintaan Anda ...").

5. Pada komputer yang terinfeksi, masukkan kode buka kunci yang disediakan oleh layanan Dr.Web ke dalam "antarmuka" spanduk.

6. Dalam kasus penghancuran diri virus, perbarui antivirus dan pindai semua bagian hard disk.

Sebuah peringatan! Terkadang spanduk tidak merespon saat memasukkan kode. Dalam hal ini, Anda perlu menggunakan metode penghapusan lain.

Menghapus spanduk MBR.Lock

MBR.Lock adalah salah satu winlocker paling berbahaya. Memodifikasi data dan kode master boot record dari hard disk. Banyak pengguna, yang tidak mengetahui cara menghapus jenis spanduk ransomware ini, mulai menginstal ulang Windows, dengan harapan bahwa setelah prosedur ini PC mereka akan "pulih". Tapi, sayangnya, ini tidak terjadi - virus terus memblokir OS.

Untuk menyingkirkan ransomware MBR.Lock, ikuti langkah-langkah berikut (opsi Windows 7):
1. Masukkan disk instalasi Windows (versi apa pun, perakitan akan dilakukan).

2. Masuk ke BIOS komputer (cari tahu hotkey untuk masuk ke BIOS dalam deskripsi teknis PC Anda). Dalam pengaturan Perangkat Booting Pertama, atur "Cdrom" (boot dari drive DVD).

3. Setelah sistem restart, disk instalasi Windows 7. Pilih jenis sistem Anda (32/64 bit), bahasa antarmuka dan klik tombol "Next".

4. Di bagian bawah layar, di bawah opsi "Instal", klik "Pemulihan Sistem".

5. Di panel "Opsi Pemulihan Sistem", biarkan semuanya apa adanya dan klik "Berikutnya" lagi.

6. Pilih opsi "Baris Perintah" dari menu Alat.

7. Pada prompt perintah, masukkan perintah - bootrec / fixmbr, lalu tekan "Enter". Utilitas sistem akan menimpa catatan boot dan dengan demikian menghancurkan kode berbahaya.

8. Tutup baris perintah, dan klik "Restart".

9. Pindai PC Anda dari virus dengan Dr.Web CureIt! atau Alat Penghapus Virus (Kaspersky).

Perlu dicatat bahwa ada cara lain untuk merawat komputer dari winlocker. Semakin banyak alat yang Anda miliki di gudang senjata Anda untuk memerangi infeksi ini, semakin baik. Secara umum, seperti yang mereka katakan, Tuhan menyelamatkan brankas - jangan menggoda nasib: jangan pergi ke situs yang meragukan dan jangan instal perangkat lunak dari produsen yang tidak dikenal.

Setelah komputer dihidupkan ulang, apakah monitor menampilkan permintaan untuk mengirim SMS berbayar, atau memasukkan uang ke rekening ponsel?

Temui seperti apa virus ransomware tipikal! Virus ini mengambil ribuan bentuk yang berbeda dan ratusan variasi. Namun, mudah untuk mengenalinya dengan tanda sederhana: dia meminta Anda untuk memasukkan uang (panggilan) ke nomor yang tidak dikenal, dan sebagai imbalannya berjanji untuk membuka kunci komputer Anda. Apa yang harus dilakukan?

Pertama, sadari bahwa ini adalah virus, yang tujuannya adalah untuk menyedot uang Anda sebanyak mungkin. Itu sebabnya jangan menyerah pada provokasinya.

Ingat hal sederhana, tidak mengirim SMS apapun. Mereka akan menarik semua uang yang ada di neraca (biasanya 200-300 rubel ditulis dalam persyaratan). Terkadang mereka meminta Anda untuk mengirim dua, tiga atau lebih SMS. Ingat, virus tidak akan pergi ke mana pun dari komputer, apakah Anda mengirim uang ke scammers atau tidak. Trojan winloc akan tetap ada di komputer Anda sampai Anda menghapusnya sendiri.

Rencana tindakannya adalah sebagai berikut: 1. Hapus blok dari komputer 2. Hapus virus dan rawat komputer.

Cara untuk membuka kunci komputer Anda:

1. Masukkan kode buka kunci dan. Cara paling umum untuk menangani spanduk cabul. Anda dapat menemukan kodenya di sini: Dr.web , Kasperskiy , Nod32 . Jangan khawatir jika kode tidak berfungsi, lanjutkan ke langkah berikutnya.

2. Coba boot ke mode aman. Untuk melakukan ini, setelah menyalakan komputer, tekan F8. Ketika jendela opsi boot muncul, pilih "mode aman dengan dukungan driver" dan tunggu sistem untuk boot.

2a. Sekarang kita coba memulihkan sistem(Mulai-Aksesori-Utilitas-Pemulihan Sistem) ke pos pemeriksaan sebelumnya. 2b. Buat akun baru. Pergi ke Mulai - Panel Kontrol - Akun. Tambahkan akun baru, restart komputer. Saat diaktifkan, pilih akun yang baru dibuat. Mari pergi ke .

3. Coba ctrl+alt+del- manajer tugas akan muncul. Kami meluncurkan utilitas penyembuhan melalui task manager. (pilih file - tugas baru dan program kami). Cara lain - tahan Ctrl + Shift + Esc dan tahan tombol ini, cari dan hapus semua proses aneh hingga desktop tidak terkunci.

4. Cara yang paling dapat diandalkan- ini untuk menginstal OS (sistem operasi) pada yang baru. Jika Anda pada dasarnya perlu mempertahankan OS lama, maka kami akan mempertimbangkan cara yang lebih memakan waktu untuk menangani spanduk ini. Tapi tidak kalah efektif!

Cara lain (untuk pengguna tingkat lanjut):

5. Boot dari disk CD langsung yang memiliki editor registri. Sistem telah boot, buka editor registri. Di dalamnya kita akan melihat registri sistem saat ini dan yang terinfeksi (cabangnya di sisi kiri ditampilkan dengan tanda tangan dalam tanda kurung).

Kami menemukan kunci HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - kami mencari Userinit di sana - kami menghapus semuanya setelah koma. PERHATIAN! File "C:\Windows\system32\userinit.exe" TIDAK DAPAT dihapus.);

Lihatlah nilai kunci HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, seharusnya explorer.exe. Selesai dengan registri.

Jika kesalahan "Pengeditan registri dilarang oleh administrator sistem" muncul, unduh program AVZ. Buka "File" - "Pemulihan Sistem" - Centang item "Buka kunci editor registri", lalu klik "Lakukan operasi yang ditandai." Editornya kembali.

Jalankan alat penghapusan Kaspersky dan dr.web cureit dan pindai seluruh sistem dengan alat tersebut. Tetap me-reboot dan mengembalikan pengaturan bios. Namun, virus belum dihapus dari komputer.

Kami merawat komputer dari Trojan WinLock

Untuk ini kita perlu:
- Editor Registri ReCleaner
- antivirus populer Penghapusan alat kaspersky
- antivirus terkenal Dr.web cureit
- antivirus yang efektif, Removeit pro
- Utilitas perbaikan registri Plstfix
- Program untuk menghapus file sementara ATF cleaner

1. Hal ini diperlukan untuk menyingkirkan virus dalam sistem. Untuk melakukan ini, luncurkan editor registri. Kami pergi Menu - Tugas - Luncurkan editor registri. Perlu menemukan:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - kami mencari bagian Userinit di sana - kami menghapus semuanya setelah koma. PERHATIAN! File "C:\Windows\system32\userinit.exe" TIDAK DAPAT dihapus.);

Lihatlah nilai kunci HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell harus ada explorer.exe. Selesai dengan registri.

Sekarang pilih tab "Startup". Kami melihat melalui item startup, centang kotak dan hapus (pojok kanan bawah) semua yang tidak Anda instal, hanya menyisakan desktop dan ctfmon.exe. Proses svchost.exe yang tersisa dan proses .exe lainnya dari direktori windows harus dihapus.
Pilih Tugas - Pembersihan Registri - Gunakan semua opsi. Program akan memindai seluruh registri, menghapus semuanya secara permanen.

2. Untuk menemukan kode itu sendiri, kita memerlukan utilitas berikut: Kaspersky, Dr.Web dan RemoveIT. Catatan: RemoveIT akan meminta Anda untuk memperbarui basis data tanda tangan virus. Koneksi internet harus dibuat selama pembaruan!
Dengan program ini, kami memindai disk sistem dan menghapus semua yang mereka temukan. Jika mau, Anda bisa untuk berjaga-jaga memeriksa semua disk komputer. Ini akan memakan waktu lebih lama, tetapi lebih dapat diandalkan.

3. Utilitas selanjutnya adalah Plstfix. Ini mengembalikan registri setelah tindakan kami di atasnya. Akibatnya, pengelola tugas dan mode aman akan mulai berfungsi kembali.

4. Untuk jaga-jaga, hapus semua file sementara. Seringkali salinan virus disembunyikan di folder ini. Ini adalah bagaimana bahkan antivirus terkenal tidak dapat mendeteksinya. Lebih baik menghapus secara manual sesuatu yang tidak secara signifikan mempengaruhi pengoperasian sistem. Instal ATF Cleaner, tandai dan hapus semuanya.

5. Kami membebani sistem. Semuanya bekerja! bahkan lebih baik dari sebelumnya :).

Trojan Winlocker adalah jenis malware yang, dengan memblokir akses ke desktop, memeras uang dari pengguna - seharusnya jika ia mentransfer jumlah yang diperlukan ke akun penyerang, ia akan menerima kode buka kunci.

Jika setelah Anda menghidupkan PC Anda melihat bukan desktop:

Atau sesuatu yang lain dalam semangat yang sama - dengan prasasti yang mengancam, dan kadang-kadang dengan gambar cabul, jangan buru-buru menuduh orang yang Anda cintai melakukan semua dosa.

Mereka, dan mungkin Anda sendiri, menjadi korban pemeras.

Bagaimana pemblokir ransomware masuk ke komputer?

Paling sering, pemblokir masuk ke komputer dengan cara berikut:

• melalui program yang diretas, serta alat untuk meretas perangkat lunak berbayar (crack, keygen, dll.);
• diunduh dari tautan dari pesan di jejaring sosial, yang seharusnya dikirim oleh kenalan, tetapi pada kenyataannya - oleh penyusup dari halaman yang diretas;
• diunduh dari sumber daya web phishing yang meniru situs terkenal, tetapi sebenarnya dibuat khusus untuk penyebaran virus;
• datang melalui email dalam bentuk lampiran surat yang menyertai konten menarik: "Anda dituntut ...", "Anda difoto di TKP", "Anda memenangkan satu juta", dan sejenisnya.

Perhatian! Spanduk pornografi tidak selalu diunduh dari situs porno. Bisa dan dengan yang paling biasa.

Jenis ransomware lain didistribusikan dengan cara yang sama - pemblokir browser. Misalnya seperti ini:

atau seperti ini:

Mereka menuntut uang untuk mengakses web browsing melalui browser.

Bagaimana cara menghapus spanduk "Windows diblokir" dan sejenisnya?

Saat desktop terkunci, saat spanduk virus mencegah peluncuran program apa pun di komputer, Anda dapat melakukan hal berikut:

• masuk ke mode aman dengan dukungan baris perintah, mulai editor registri dan hapus kunci autorun spanduk.
• boot dari Live CD ("live" disk), misalnya, komandan ERD, dan hapus spanduk dari komputer baik melalui registri (kunci autorun) dan melalui penjelajah (file).
• pindai sistem dari disk boot dengan antivirus, seperti Dr.Web LiveDisk atau Disk Penyelamatan Kaspersky 10.

Metode 1: Menghapus winlocker dari mode aman dengan dukungan konsol.

Jadi, bagaimana cara menghapus spanduk dari komputer melalui baris perintah?

Pada mesin dengan Windows XP dan 7, sebelum sistem dimulai, Anda harus dengan cepat menekan tombol F8 dan memilih item yang ditandai dari menu (di Windows 8 \ 8.1 tidak ada menu seperti itu, jadi Anda harus mem-boot dari disk instalasi dan jalankan baris perintah dari sana).

Alih-alih desktop, konsol akan terbuka di depan Anda. Untuk meluncurkan editor registri, masukkan perintah di dalamnya regedit dan tekan Enter.

Selanjutnya, buka registry editor, temukan entri virus di dalamnya dan perbaiki.

Paling sering, spanduk ransomware terdaftar di bagian:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- di sini mereka mengubah nilai parameter Shell, Userinit, dan Uihost (parameter terakhir hanya ada di Windows XP). Anda perlu memperbaikinya menjadi normal:

• shell=explorer.exe
• Userinit = C:\WINDOWS\system32\userinit.exe, (C: adalah huruf dari partisi sistem. Jika Windows berada di drive D, jalur ke Userinit akan dimulai dengan D :)
• Uihost=LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- lihat parameter AppInit_DLLs. Biasanya, mungkin tidak ada atau memiliki nilai kosong.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- di sini ransomware membuat parameter baru dengan nilai sebagai jalur ke file pemblokir. Nama parameter dapat berupa string huruf, seperti dkfjghk. Itu harus dihapus sepenuhnya.

Hal yang sama berlaku untuk bagian berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Untuk memperbaiki kunci registri, klik kanan pada pengaturan, pilih Edit, masukkan nilai baru, dan klik OK.

Setelah itu, restart komputer Anda dalam mode normal dan lakukan pemindaian antivirus.Ini akan menghapus semua file ransomware dari hard drive Anda.

Metode 2. Menghapus winlocker menggunakan ERD Commander.

Komandan ERD berisi seperangkat besar alat untuk memulihkan Windows, termasuk ketika dirusak oleh trojan pemblokir.

Menggunakan editor registri ERDregedit yang ada di dalamnya, Anda dapat melakukan operasi yang sama seperti yang kami jelaskan di atas.

Komandan ERD akan sangat diperlukan jika Windows diblokir di semua mode. Salinannya didistribusikan secara ilegal, tetapi mudah ditemukan di internet.

Set komandan ERD untuk semua versi Windows disebut disk boot MSDaRT (Microsoft Diagnostic & Recavery Toolset), mereka datang dalam format ISO, yang nyaman untuk membakar ke DVD atau mentransfer ke USB flash drive.

Setelah mem-boot dari disk seperti itu, Anda harus memilih versi sistem Anda dan, dengan masuk ke menu, klik editor registri.

Di Windows XP, prosedurnya sedikit berbeda - di sini Anda perlu membuka menu Mulai (Start), pilih Alat Administratif dan Editor Registri.

Setelah mengedit registri, boot Windows lagi - kemungkinan besar, Anda tidak akan melihat spanduk "Komputer terkunci".

Metode 3. Menghapus pemblokir menggunakan "disk penyelamat" anti-virus.

Ini adalah yang termudah, tetapi juga metode membuka kunci terpanjang.

Cukup membakar gambar Dr.Web LiveDisk atau Kaspersky Rescue Disk ke DVD, mem-boot darinya, mulai memindai dan menunggu sampai selesai. Virus akan terbunuh.

Menghapus spanduk dari komputer juga sama efektifnya menggunakan disk Dr.Web dan Kaspersky.