Szeretném elmondani a barátoknak egy olyan eseményt, ami másnap történt velem. Jó barátom van a középiskolás óta, és felhívott, hogy látogassa meg a feleségemet és a gyerekeket, természetesen semmit sem vittél magamhoz, még egy flash meghajtót sem egy ingyenes víruskereső programmal. Jöttünk, és nem volt idejük levetkőzni, amikor egy kisfiú (a barátom fiam) feljött hozzám, és azt mondta: "Nagybácsi, apa azt mondta, hogy javíthatja meg a számítógépet." - Mi történt? Mondom. „Vannak olyan nagybátyák, akik pénzt kérnek tőlünk, azt mondják A Windows blokkolva van az előfizetői szám feltöltése, pénzt töltöttünk anyámmal, de becsaptak minket, és a számítógép nem működik újra. ” A barátok láttam a zavart az arcomon, és azt javasolták, hogy ne fordítsanak figyelmet erre a bosszantó eseményre..
A Windows blokkolva van az előfizetői szám feltöltése
Odamentem a számítógéphez és megnyomtam a POWER gombot, és vártam egy régi barátom megjelenését, aki nem sokáig várt. A letöltés elején megállapítom, hogy a Windows XP telepítve van. Minden, ahogy a monitor képernyőjén a szokásos módon bejelentkezik, egy figyelmeztető üzenet jelenik meg - A Windows zárolva van a feloldáshoz, új előfizetői számot kell feltöltenie ... , ami azt jelenti, hogy a számítógépet megfertőzte a Trojan.Winlock vagy a Trojan-Ransom vírus, vagy még egyszerűbb is - SMS küldése. A billentyűzet egyetlen gombja sem működik, és egyetlen billentyűkombináció sem működik.
- Megpróbálhatja például megnyomni a kombinációt, mielőtt betölti a szalaghirdetést Ctrl + Shift + Esc, nagyon ritkán szerencsés, és bekerülhet a feladatkezelőbe, majd megtalálhatja az ellenség folyamatát és befejezheti azt. Vagy válassza ki a feladatkezelő ablakban fájl->nyílt, tárcsázzon tovább felfedező és ca., így bejuthat a felfedezőbe, majd lépjen a mappába C: \ Windows-> system32 és töröljön minden olyan fájlt, amely befejeződik: .exe és dll a Windows transzparens fertőzésének napjával. Csapat beírása msconfig, lépjen be automatikus töltésbe - mindent törölhet onnan. A csapat regedit-> Enter a nyilvántartás, Nos, nem ismétlem meg, mindent nagyon részletesen írunk a szalagcím eltávolítása című cikkben.
Sajnos ezek egyike sem segített, és én sem indítottam el indulást. Nem sikerült belépni a biztonságos módba és a biztonságos módba sem a parancssori támogatással. Ülök, azt hiszem tovább, a gondolat mászott bele a fejembe, hogy a bőröndömért a város másik végére menjek.
Minden barátom számára számítógépet vásárolok, most rendszerint a laptopok vagy laptopok előre telepítve vannak. A vásárlás után mindig képet készítek az operációs rendszerről, amely a NOT rendszerpartíción található, általában (D :) vagy (E :). Azok számára, akik megengedhetik maguknak az Acronis True Image Home programot (a hivatalos honlapon az ár csupán 1000 rubel / számítógép), a képet biztonsági másolatként készítették ebben a programban, ami nagyon kényelmes. A biztonsági másolat vagy a kép mindig (ha véletlenül nem törlődik) vészhelyzet esetén telepíthető, ha semmi sem segít. Ha az emberek Acronist vásároltak, akkor rendelkezniük kell a rendszer biztonsági másolatával, és ez valószínűleg a program indító modulja lesz egy CD-n..
A barátaim iránt érdeklődik, mely lemezeket voltak a számítógéphez csatlakoztatva a vásárlás időpontjában, és mely szoftvereket vásároltak ezen felül. Csak egy ismeretlen lemez volt, amelyből kiderült, hogy én maradtam. Szépen és haszontalanul írták nekem a Windows 7 helyreállítási lemezen: A rendszerre a Windows XP telepítve lett, tehát ez a lemez nem tudott segíteni. Miért kérem XP-t, mert először volt egy hét, különben nem készítettem volna ilyen lemezt neked? És válaszolnak nekem. Eleinte volt a Windows 7, de sok játék nem indult rajta, és újratelepítettük a Windows XP-t.
Nos, oké, mi van: egy lemez a Windows 7 helyreállítási környezetével és egy számítógép, amelyen telepítve van a Windows XP, egy ransomware szalaghirdetés blokkolva. Újraindítottam a számítógépet, beléptem a BIOS-ba, beállítottam a rendszerindítást a meghajtóról, és a Windows 7 helyreállítási lemezéről indítottam (milyen lemez és hogyan kell csinálni, olvassa el a cikkünket), bármi is legyen.
Nyomja meg a billentyűzet bármelyik gombját.
A telepített rendszerek keresése természetesen semmit nem hozott, a helyreállítási környezet nem talált Windows-ot,
és az extra partíción nem volt rendszerkép.
Csak a parancssorba ment
és próbáljon meg egy jól ismert parancs segítségével belépni a Windows Intézőbe jegyzettömb. Parancssori és típusú jegyzettömb. Bejutunk a notebookba itt fájl és nyílt.
Kérem, van előttünk útmutatónk, ez már nem rossz, és kis esélyünk van a sikerre.
Először is, a ransomware vírus megváltoztatja a beállításjegyzék paramétereit Userinit és héj az ágban HKEY_LOCAL_MACHINE \ SZOFTVER \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.Ideális esetben ilyenek lennének:
Userinit - C: \ Windows \ system32 \ userinit.exe,
Shell - explorer.exe
Ezek megtekintéséhez el kell lépnie egy zárolt rendszer nyilvántartásába, ezt megteheti például egy Live CD-ről, amely lehetővé teszi a csatlakozást az operációs rendszerhez, vagy ideális a Windows XP XP-ben lévő speciális ERD Commander helyreállító lemezeket, valamint a Windows 7 Microsoft Diagnostic and Recovery Toolset programját használni. További információ a szalagcím eltávolításáról szóló cikkünkben található. Nem volt ilyen lemezem, és csak egy lehetőség volt. Ebben az esetben a mappába léphet C: \ Windows \ javítás (ne felejtsük el megadni a File Types részben Minden fájl, különben nem fogsz látni semmit),
A Windows XP telepítésekor létrehozott regisztrációs fájlok biztonsági másolatait ott tárolják, majd onnan másolják a rendszerleíró fájlokat SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM és cserélje ki a mappában lévő azonos nevű sérült regisztrációs fájlokat C: \ Windows \ System32 \ Config.
Sajnos sok telepített program megtagadja a működést, mivel a beállításjegyzék állapota megegyezik a Windows XP telepítésének ideje alatt. Barátaimnak nem voltak olyan speciális programjai, amelyeket szükség esetén nem lehetett újratelepíteni. Először a C: \ Windows \ System32 \ Config mappába mentem, és onnan töröltem a sérült regisztrációs fájlokat -SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM, egyébként törlés előtt másolhatja őket minden esetre bármilyen mappába..
Aztán elmentem a C: \ Windows \ javító mappába, és a C: \ Windows \ System32 \ Config mappából másoltam a SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM biztonsági másolatot tartalmazó fájlokat..
Mindent töröltem a Temp mappákból is. A Windows XP rendszerben ezek:
C: \ Dokumentumok és beállítások \ Felhasználói profil \ Helyi beállítások \ Temp
C: \ Dokumentumok és beállítások \ Felhasználói profil \ Helyi beállítások \ Ideiglenes internetes fájlok.
C: \ Windows \ Temp.
A C: \ Windows \ Prefetch mappát is teljesen megtisztította.
A C: \ Windows-> system32 mappában megvizsgáltam az .exe és dll fájlokkal végződő fájlokat, az előző nap dátumával, amikor a ransomware szalaghirdetés megfertőzte a számítógépet, megtaláltam ezt és töröltem..
Ezután indítsa újra. A Windows XP üzenet nélkül indul - a Windows letiltja az előfizetői szám feltöltését, sok programot közvetlenül a C: \ Program Files mappákban indítottak el. A játékok minden gond nélkül elindultak..
Címkék a cikkhez: Vírusok rendszer funkciói
